146 Capitolul 6 AUDITAREA SISTEMULUI DE CONTROL INTERN O înţelegere a controlului intern, în special a elementelor legate de fiabilitatea raportării financiare, este importantă pentru atingerea obiectivelor urmărite de auditorii financiari Până la prezentarea evaluării propriu-zise a sistemului de control intern, considerăm necesară reliefarea succintă a ceea ce reprezintă acest complex pentru o organizaţie 6 1 Conceptul de control intern După cum rezultă din literatura de specialitate, 92 un sistem de control intern este format din politici şi proceduri create pentru a oferi managementului o asigurare rezonabilă că entitatea îşi atinge obiectivele şi ţelurile prestabilite, inclusiv atingerea anumitor performanţe şi respectarea legislaţiei Aceste politici şi proceduri sunt deseori numite mecanisme de control şi reprezintă, luate în ansamblu, controlul intern al organizaţiei Rezultă că acest sistem este conceput şi implementat pentru a aborda riscurile de afaceri identificate care împietează asupra realizării oricăruia dintre obiectivele enunţate Din punctul de vedere al legislaţiei naţionale, controlul intern cuprinde: - ansamblul formelor, criteriilor, normelor şi metodelor privind organizarea internă, mergând până la starea de spirit sau rigoarea internă; - ansamblul procedurilor interne, dintre care putem exemplifica: procedura achiziţiilor, procedura de efectuare a recepţiilor, procedura de urmărire şi recuperare a creanţelor, procedura de elaborare a situaţiilor financiare etc - controlul financiar preventiv; 92 Alvin A Arens şi colab , Audit – o abordare integrată, Ediţia a 8-a, Editura ARC, Chişinău, 2002, pg 332 147 - alte forme de control intern, fără ca legea 93 să precizeze care sunt acestea În funcţie de mărimea, specificul şi politica organizaţiei se pot regăsi diverse forme: separarea sarcinilor pentru evitarea incompatibilităţilor, formarea şi competenţa profesională, controlul tehnic şi de calitate al produselor şi serviciilor realizate, controlul şi verificările contabile, controlul financiar de gestiune, controlul IT, controlul protecţiei muncii, controlul comercial, controlul sanitar şi multe altele; - auditul intern, nu în ultimul rând Într-o viziune proprie, am defini controlul intern ca fiind ansamblul elementelor ce oferă organizaţiei o anumită rigurozitate şi, pe această cale, furnizează un nivel de asigurare responsabilului că activitatea din subordinea sa se desfăşoară la nivelul parametrilor aşteptaţi Controlul intern are drept scop realizarea la un nivel corespunzător a obiectivelor entităţilor, precum şi dezvoltarea şi întreţinerea unor sisteme adecvate de colectare, stocare, prelucrare, actualizare şi difuzare a datelor şi informaţiilor financiare şi decizionale Din ansamblul controlul intern, pe auditorul financiar îl preocupă în special o anumită parte, respective, elementele şi procesul conceput şi efectuat de cei însărcinaţi cu guvernanţa, conducere şi alţi angajaţi în vederea furnizării unei asigurări rezonabile despre realizarea obiectivelor cu privire la credibilitatea raportării financiare, eficienţa activităţii şi conformitatea cu legislaţia aplicabilă Mecanismele de control aplicate în cadrul unei organizaţii sunt destinate să încurajeze utilizarea eficientă şi eficace a resurselor acesteia, inclusiv a resurselor umane, cu scopul de a optimiza ţelurile întreprinderii O parte importantă a rezultatelor acestor mecanisme de control o reprezintă informaţiile corecte destinate procesului decizional intern O altă preocupare importantă a sistemului de control intern este protejarea activelor şi a evidenţelor contabile ale companiei Activele corporale ale unei companii pot fi furate, deturnate sau distruse accidental, dacă nu sunt protejate prin mecanisme de control adecvate Acelaşi lucru este valabil şi pentru activele necorporale, cum ar fi creanţele-clienţi, documentele importante (contractele sunt confidenţiale) şi evidenţele contabile (cartea mare şi jurnalele) Protejarea anumitor active şi documente a devenit din ce în ce mai importantă o dată cu generalizarea sistemelor informatice Cantităţile mari de informaţii stocate pe suporturi electronice pot fi pierdute sau virusate dacă nu se iau măsuri pentru protejarea lor Protecţia 93 O G nr 119/1999 privind controlul intern public propriu şi controlul financiar preventiv, republicată în Monitorul Oficial al României nr 799, din 12 11 2003 148 evidenţelor contabile afectează, de asemenea, fiabilitatea raportării financiare Ca să nu mai spunem despre confidenţialitatea unor informaţii, care se constituie în "suportul afacerii" derulate de întreprindere Totodată, sistemul de control intern are ca obiectiv respectarea legilor şi reglementărilor aplicabile Organizaţiile trebuie să respecte numeroase legi şi reglementări Majoritatea acestor acte normative sunt doar parţial legate de contabilitate Sistemul de control intern se extinde, aşadar, dincolo de acele aspecte care privesc direct sistemul financiar-contabil al entităţii, cuprinzând o mare parte a managementului şi situându-se în prima linie de apărare a resurselor împotriva eventualelor pierderi şi, de ce nu, în avanposturile dezvoltării şi consolidării companiei Controlul intern are la bază următoarele caracteristici: Reprezintă o continuă integrare, încorporare în componenţa operaţiunilor Controlul intern nu este un eveniment foarte clar delimitat, ci constă într-un ansamblu de mijloace şi procese, într-o serie de acţiuni sau activităţi care se derulează simultan cu operaţiunile organizaţiei şi în mod neîntrerupt El trebuie să funcţioneze ca parte integrantă a fiecărui sistem pe care managementul îl foloseşte pentru reglementarea şi coordonarea operaţiunilor iniţiate şi desfăşurate, însă, fără a exista şi funcţiona ca un departament distinct în cadrul entităţii În acest sens, controlul intern se realizează şi ca parte a logisticii entităţii patrimoniale ce ajută managerii să conducă entitatea, astfel încât să se realizeze obiectivele programate Responsabilitatea pentru un bun control intern revine managementului, care îi stabileşte obiectivele, îi pune în aplicare mecanismele, îl monitorizează şi evaluează Pe lângă mijloacele tehnice şi financiare disponibile, controlul intern este cel mai important instrument aflat la dispoziţie şi creat de conducere în vederea îndeplinirii obiectivelor organizaţiei Asigurarea rezonabilă O companie ar trebui să definească elementele de control intern care să ofere o asigurare rezonabilă, nu una absolută, că rezultatele obţinute sunt cele mai bune posibil, în condiţiile date, implicit că situaţiile financiare prezintă o imagine fidelă Mecanismele de control intern sunt concepute de metodologi după analiza atât a eforturilor, cât şi a beneficiilor generate de punerea lor în aplicare Deseori, managementul nu este dispus să introducă un sistem care tinde să ajungă ideal, deoarece costurile acestuia ar putea fi prea mari şi în special pierderile colaterale De exemplu, o societate comercială, cu 7 salariaţi şi multe spaţii comerciale, are ca principal obiect de activitate acordarea de locaţii terţilor pentru vânzarea în cadrul acestora a diverselor mărfuri În contractele de acordare a spaţiilor exista următoarea prevedere: terţul datora locatorului 149 3℅ din cifra de afaceri realizată în incinta închiriată, dar nu mai puţin de 1000 euro/lună Economistul firmei 94 s-a sesizat de faptul că toţi cei 60 de clienţi datorau în fapt, lună de lună, 1000 de euro, întrucât cifra de afaceri declarată era mult prea mică pentru a se trece la calculul tarifului pe baza procentului de 3℅ din veniturile realizate În plus, din cauza chiriei mult prea mari comparabil cu puterea de suportare a unor firme, gradul de ocupare a spaţiilor era de numai 70 – 75% Acelaşi economist sau, dacă vreţi, o parte a sistemului de control intern sa gândit, rând pe rând, la următoarele mecanisme de optimizare a activităţii: - pentru urmărirea vânzărilor realizate, să solicite clienţilor copiile rapoartelor emise de casele de marcat, dar acestea erau corespunzătoare cifrei de afaceri declarate pentru locaţiile respective; - să plaseze câte un salariat propriu în fiecare locaţie oferită clienţilor, care să contorizeze vânzările realizate Procedura s-a dovedit mult prea costisitoare, eforturile, cu cei 60 de salariaţi suplimentari împreună cu amortismentul activelor, depăşeau cu mult potenţialele venituri; - să plaseze la ieşirea din incinta comercială personal care să contorizeze pe baza bonurilor fiscale 95 vânzările realizate de fiecare partener de afaceri Sistemul risca să producă, din punct de vedere fizic, o strangulare a circuitului comercial, sau, din punct de vedere psihologic, să afecteze fondul comercial de care beneficiază spaţiile respective Concluzia a fost că nici acest mecanism de control intern nu era tocmai adecvat; - să instaleze camere de luat vederi pentru fiecare locaţie Măsura nu asigura, din punct de vedere tehnic, contorizarea adecvată a vânzărilor realizate de partenerii de afaceri şi, în plus, era mult prea costisitoare În cele din urmă, s-a ajuns la un alt sistem de tarifare utilizat de societatea comercială în relaţia cu clienţii săi S-au stabilit tarife - chirii exclusiv în sume absolute şi diferenţiate în funcţie de natura mărfurilor comercializate şi poziţionarea acestora în cadrul incintei pentru: - produsele alimentare 20 euro/lună/mp; - produsele cosmetice şi de telefonie mobilă 50 euro/lună/mp; - confecţii, tricotaje şi alte produse de îmbrăcăminte 40 euro/lună/mp în sezon şi 10 euro/lună/mp în extrasezon; - cafea, ţigări şi băuturi alcoolice 60 euro/lună/mp etc 94 La o companie de mărime apreciabilă auditorul intern este cel care sesizează, prin natura funcţiei, astfel de probleme, dar nu numai acesta… La unităţile mici, economistul acesteia este cel care cumulează o parte din atribuţiile auditului intern 95 Pe care cumpărătorii sunt obligaţi să-l păstreze până la ieşirea din unitatea comercială 150 Astfel, contorizarea vânzărilor partenerilor nu mai prezintă interes, 96 societatea comercială realizând o majorare a încasărilor cu 40℅ şi un procent cuprins între 90 şi 100℅ în ceea ce priveşte ocuparea locaţiilor Rezultă, din această ilustrare, că o componentă a controlului intern a identificat cel puţin două riscuri, 97 pe care le-a diminuat prin recomandarea de schimbare a contractelor utilizate în relaţiile cu clienţii Cu alte cuvinte, s-a creat un mecanism de control 98 care oferă o asigurare rezonabilă (asigurarea absolută devine pe alocuri absurdă) că obiectivele companiei sunt mai bine realizate Puteţi poziţiona în timp şi spaţiu controlul intern descris prin acest exemplu? Restricţiile inerente Mecanismele de control intern nu ar putea fi niciodată considerate perfect eficace, indiferent de rigurozitatea proiectării şi aplicării lor De pildă, chiar dacă s-ar putea concepe un sistem ideal, eficacitatea lui va depinde de competenţa şi profesionalismul persoanelor care îl vor utiliza Să presupunem că procedura de acordare a vizei de control financiar preventiv este riguros proiectată şi necesită existenţa a doi salariaţi care să acorde în fapt viza Dacă una dintre aceste persoane are o atitudine "mai înţelegătoare" decât cealaltă sau ambele persoane sunt neglijente în exercitarea mandatului, atunci rezultatele verificărilor financiare preventive vor fi probabil greşite Chiar şi în cazul în care cei doi salariaţi s-ar strădui să fie corecţi, managementul ar putea încălca procedurile şi "ordona" acestora să acorde viza de control financiar preventiv pentru operaţiuni mai puţin legale sau performante În plus, verificarea preventivă exercitându-se înaintea derulării operaţiilor economice, riscă să mai şi greşească, întrucât se bazează pe multe incertitudini şi presupuneri Ceva de genul, dacă nu era parcă… Controlul intern indiferent de modul în care este conceput şi operează poate oferi entităţii doar o asigurare rezonabilă despre îndeplinirea obiectivelor de raportare financiară ale entităţii Probabilitatea de realizare este afectată diverse elemente 99 Acestea includ realitatea faptului că judecata umană în luarea deciziilor poate fi defectuoasă şi că în controlul intern pot apărea lacune datorită erorii umane, cum sunt greşelile sau 96 Acest obiectiv rămâne exclusiv în sarcina organelor fiscale şi a managementului terţilor parteneri 97 Să nu încaseze chirii adecvate de la clienţii companiei şi să nu se asigure funcţionarea la întreaga capacitate a activelor 98 O procedură de lucru în relaţia cu clienţii 99 IFAC şi CAFR, Audit financiar 2006, standarde, , Editura Irecson, Bucureşti, 2007, pg 385 –386 151 erorile simple Spre ilustrare, dacă personalul din sistemul de informaţional al unei entităţi nu înţelege pe deplin modul în care sistemul de înregistrare a comenzilor procesează vânzările, el poate concepe în mod eronat schimbările ce sunt necesare sistemului pentru a procesa vânzările pentru o nouă linie de produse Pe de altă parte, astfel de schimbări pot fi corect concepute impecabil, dar înţelese greşit de cei care convertesc concepţia într-un program Erorile pot, de asemenea, să apară la utilizarea informaţiilor produse de IT De exemplu, controalele automatizate pot fi concepute să raporteze tranzacţiile peste o anumită valoare specificată în vederea analizării lor de către conducere, dar cei responsabili cu desfăşurarea analizei s-ar putea să nu înţeleagă scopul unor astfel de rapoarte şi în consecinţă să nu le examineze sau să nu investigheze elementele neobişnuite În plus, controalele pot fi eludate prin asocierea a două sau mai multor persoane în acest scop sau prin ignorarea controlului intern de către conducere în mod inadecvat De pildă, conducerea poate încheia contracte colaterale cu clienţii care modifică termenii şi condiţiile contractelor standard de vânzare ale entităţii, ceea ce poate da naştere la o recunoaştere improprie a veniturilor De asemenea, verificările de editare dintr-un program soft care sunt concepute să identifice şi raporteze tranzacţiile care depăşesc anumite limite de credit specificate ar putea fi ignorate sau deselectate Entităţile mai mici deseori au mai puţini angajaţi ceea ce poate limita măsura în care este posibilă segregarea sarcinilor Totuşi, pentru domeniile cheie chiar şi într-o entitate foarte mică s-ar putea să fie posibilă implementarea unui anumit grad de segregare a sarcinilor sau altă formă de control simplă dar eficientă Posibilitatea de eludare a controalelor de către patronul-manager depinde în mare măsură de mediul de control şi în special de atitudinea proprietarului faţă de importanţa controlului intern 6 2 Elementele sistemului de control intern Există multe puncte de vedre justificate şi profunde privind componentele controlului intern ale unei organizaţii Şi mai este în continuare loc pentru dezbateri şi clarificări, dar suntem nevoiţi să fim rezumativi Astfel, controlul intern cuprinde cinci categorii de elemente: mediul controlului, evaluarea riscurilor, activităţile de control, informarea şi comunicarea, precum şi supervizarea Fiecare dintre categorii conţine numeroase mecanisme de control Auditorul este interesat în principal de 152 cele definite în scopul detectării prezentărilor semnificativ eronate din situaţiile financiare 6 2 1 Mediul controlului sau starea de spirit a organizaţiei Dintre elementele sistemului de control intern se detaşează ca o adevărată cupolă mediul controlului, care întreţine şi protejează, constrânge şi susţine, determină celelalte componente Fără un mediul de control eficient, este puţin probabil ca celelalte patru componente să ducă la un control intern eficace, indiferent de calitatea lor Esenţa unei organizaţii eficient controlate este atitudinea managementului acesteia Dacă managementul de vârf consideră că sistemul de control intern este important, ceilalţi angajaţi vor simţi acest lucru şi vor reacţiona prin respectarea conştiincioasă a elementelor de control definite Pe de altă parte, dacă pentru salariaţii unităţii este evident că sistemul de control intern nu este o problemă importantă pentru managementul de vârf şi că în acest domeniu se vorbeşte mai mult decât se face, este aproape sigur că obiectivele de control ale conducerii nu vor fi urmărite cu eficacitate Mediul controlului este format din acţiunile, politicile şi procedurile care reflectă atitudinile de ansamblu ale managementului, ale membrilor consiliului de administraţie şi ale proprietarilor entităţii faţă de controlul intern şi importanţa lui pentru entitate În scopul înţelegerii şi evaluării mediului de control, auditorul trebuie să cunoască cele mai importante componente secundare pe care acesta ar trebui să le asigure Integritatea şi valorile etice sunt produsul normelor şi regulilor morale şi comportamentale ale entităţii, precum şi al modului în care acestea sunt comunicate şi aplicate în practică Ele cuprind acţiunile întreprinse de management în scopul înlăturării sau reducerii motivaţiilor sau tentaţiilor care ar putea determina angajaţii să se implice în fapte necinstite, ilicite sau imorale Ele includ şi comunicarea valorilor şi normelor comportamentale ale entităţii către angajaţii săi prin intermediul normelor şi dispoziţiilor interne privind politicile unităţii, a codurilor de conduită şi a exemplelor personale Angajamentul faţă de competenţă se referă cel puţin la următoarele aspecte: 153 - capacitatea şi disponibilitatea managementului de a identifica şi respecta deprinderile şi cunoştinţele necesare pentru îndeplinirea fiecărei funcţii; - asigurarea ocupării funcţiilor numai de persoane competente; - atitudinea conducerii faţă de orice "produs propriu" inclusiv faţă de situaţiile financiare Pentru auditor este interesant de determinat dacă managementul este călăuzit de teoria "merge oricum" sau totdeauna are ca obiectiv perfecţionarea oricărei activităţi în care este implicat Filozofia şi stilul de lucru al managementului Conducerea, prin intermediul activităţilor sale, trimite semnale clare angajaţilor privind importanţa controlului intern De exemplu, managerii îşi asumă riscuri importante sau sunt, mai degrabă, reticenţi faţă de riscuri? Planurile de profituri şi datele bugetare sunt definite ca "cele mai bune posibile" planuri sau ca "cele mai dorite" ţinte? Dintr-o altă perspectivă, conducerea întreprinderii poate fi descrisă ca "umflată şi birocratică", "subţire şi agresivă", dominată de una sau câteva persoane sau este "numai bună"? Înţelegerea acestor aspecte şi a altor elemente similare ale filozofiei şi stilului de lucru al managerilor îi oferă auditorului o imagine a atitudinii conducerii faţă de controlul intern Structura organizatorică a unei entităţi (organigrama) defineşte nivelurile ierarhice de responsabilitate şi autoritate existente Prin înţelegerea structurii organizatorice a unui client, auditorul poate cunoaşte mai bine aspectele manageriale şi funcţionale ale unei entităţi economice şi poate percepe modul în care sunt puse în aplicare mecanismele de control Atribuirea autorităţii şi responsabilităţii Aceasta are legătură, în primul rând, cu planurile formale de organizare şi de activitate, cu existenţa, cunoaşterea şi respectarea fişelor de post pentru angajaţi, cu distribuirea adecvată a obligaţiilor decizionale aferente diverselor trepte ierarhice, precum şi cu politicile de întreprindere asociate acestora Politicile şi practicile din domeniul resurselor umane Cel mai important element al controlului intern este personalul Dacă angajaţii sunt competenţi şi demni de încredere, alte tipuri de mecanisme de control ar putea lipsi şi tot ar rezulta situaţii financiare fiabile Persoanele oneste şi eficiente sunt capabile să presteze o muncă de calitate înaltă chiar şi atunci când există puţine alte mecanisme de control Şi invers, chiar dacă sunt aplicate numeroase alte mecanisme de control, persoanele incompetente sau necinstite pot transforma sistemul într-un haos În ciuda existenţei unui personal competent şi demn de încredere, nu uitaţi că oamenii au o serie de slăbiciuni înnăscute De pildă, ei se pot plictisi sau pot deveni nemulţumiţi, 154 problemele personale le pot afecta performanţele profesionale sau obiectivele pe care le urmăresc se pot schimba Din cauza importanţei pe care o are un personal competent şi fiabil în asigurarea unui control intern eficace, metodele prin care oamenii sunt angajaţi, evaluaţi, instruiţi, promovaţi şi recompensaţi reprezintă o componentă esenţială a controlului intern Auditorul trebuie să obţină informaţii privind fiecare dintre componentele secundare ale mediului controlului Apoi, el va utiliza aceste cunoştinţe ca bază pentru a evalua atitudinea managerilor şi membrilor consiliului de administraţie faţă de controlul intern şi modul în care aceste persoane percep importanţa controlului intern Spre exemplu, auditorul ar putea determina natura sistemului bugetar al unui client, ca parte a înţelegerii modului în care este constituit mediul controlului Apoi, funcţionarea sistemului bugetar poate fi evaluată parţial prin chestionarea personalului implicat în activitatea de bugetare, în scopul identificării procedurilor folosite, dar şi prin analizarea diferenţelor dintre sumele bugetate şi cele efectiv realizate De asemenea, auditorul ar putea examina planurile de activitate ale clientului, pentru a compara rezultatele efective cu cele previzionate 6 2 2 Gestionarea riscurilor de către managementul entităţii Toate entităţile, indiferent de dimensiuni, structură, denumire, natură sau ramură de activitate, se confruntă cu diverse riscuri ce provin din surse interne sau externe şi care trebuie gestionate Deoarece circumstanţele economice, de ramură, juridice şi operaţionale evoluează, managementul trebuie să răspundă provocării de a crea mecanismele necesare pentru identificarea şi gestionarea riscurilor asociate acestor schimbări 100 Controlul intern adecvat într-un anumit set de circumstanţe şi la un moment dat nu va continua în mod obligatoriu să fie eficace, dacă aceste circumstanţe se vor modifica, fiind nevoit (condamnat) să se adapteze permanent Identificarea şi analiza riscurilor este un proces continuu şi o componentă critică a unui control intern eficace Conducerea trebuie să se concentreze asupra riscurilor de la toate nivelurile organizaţiei şi să 100 M Cristea, Economia asigurărilor, Ed PrintXpert, Craiova, 2007, pg 42 – 43 155 întreprindă măsurile necesare pentru a gestiona aceste riscuri Un prim pas important ar fi ca managementul să identifice factorii care ar putea crea şi majora riscurile Incapacitatea de a atinge obiectivele deja fixate, calitatea personalului, dispersarea geografică a activităţilor companiei, importanţa şi complexitatea proceselor economice de bază, introducerea unor noi tehnologii informaţionale şi intrarea pe piaţă a unor noi concurenţi reprezintă tot atâtea exemple de factori care ar putea conduce la un risc mai mare După ce un risc a fost identificat, managementul trebuie să estimeze semnificaţia consecinţelor acestui risc, să evalueze probabilitatea apariţiei lui şi să formuleze măsuri specifice care ar trebui întreprinse pentru a reduce riscul până la un nivel acceptabil Evaluarea riscurilor în scopuri de raportare financiară înseamnă identificarea şi analizarea de către management a riscurilor relevante pentru elaborarea situaţiilor financiare în conformitate cu principiile contabile general acceptate Spre ilustrare, dacă, pe parcursul mai multor ani, o companie îşi prezintă în situaţiile financiare imobilizările corporale exclusiv la valoarea contabilă rămasă (valoarea de inventar istorică diminuată cu amortismentul aferent), există riscul ca această aserţiune să nu fie suficientă pentru cititorii ei Auditorul evaluează riscurile pentru a decide asupra probelor necesare în audit Dacă managementul evaluează şi gestionează eficient riscurile, auditorul va colecta, de regulă, o cantitate mai mică de probe decât în situaţia în care conducerea nu reuşeşte să identifice riscurile semnificative sau să le facă faţă Auditorul trebuie să ajungă la a cunoaşte procesul de evaluare a riscurilor aplicat de management prin determinarea modului în care entitatea (structurile ei de apărare) identifică riscurile relevante, evaluează semnificaţia şi probabilitatea de manifestare a acestor riscuri şi formulează măsuri necesare pentru a le face faţă Chestionarele şi discuţiile cu managerii sunt cele mai obişnuite metode de obţinere a acestor informaţii În pagina următoare, vă prezentăm un extras dintr-un chestionar al logisticii sistemului de plata a facturilor furnizorilor organizaţiei examinate, ce poate fi utilizat de auditor în demersul de identificare şi evaluare a riscurilor Răspunsurile afirmative sugerează premisele unei rigurozităţi, cele negative este necesar ca auditorul să le reţină ca potenţiale puncte nevralgice ale sistemului de control intern, iar răspunsurile N/A arată că 156 respectivele mecanisme de control intern 101 nu se aplică categoriei de operaţii analizate ÎNTREBĂRI Există proceduri scrise privind plata furnizorilor ? Sunt separate sarcinile de serviciu în ceea ce priveşte angajarea, evidenţa şi plata furnizorilor ? Aprovizionările sau intrările în sistem sunt suficient documentate ? Comisiile de recepţie sunt competente ? Se verifică independent conformitatea dintre contracte, comenzi, recepţii şi facturi ? Documentele de recepţie sunt prenumerotate ? Se confirmarea legalitatea şi necesitatea plăţii prin menţionarea "bun de plata" pe facturi ? Este organizată o evidenţă, sintetică şi analitică, a datoriilor faţă de furnizori ? Se verifică operarea tuturor intrărilor în evidenţa contabilă ? Se urmăreşte şi se respectă exigibilitatea datoriilor către furnizori ? Etc 6 2 3 Activităţile de control Activităţile de control reprezintă o serie de politici şi proceduri, pe lângă cele incluse în celelalte patru componente, care asigură faptul că în realizarea şi urmărirea obiectivelor entităţii se iau măsurile necesare pentru a se face faţă riscurilor ce pot afecta activitatea entităţii Prin definiţie, activităţile de control se încadrează, de obicei, în următoarele cinci tipuri: - separarea adecvată a responsabilităţilor (sarcinilor); - autorizarea corespunzătoare a operaţiunilor şi activităţilor; - întocmirea de documente şi evidenţe contabile riguroase; - controlul fizic al activelor şi evidenţelor contabile; 101 RĂSPUNSURI Da Nu N/A Întrebări de conţinut sau obiective ale mecanismelor de control intern 157 - verificări independente ale aplicării legilor, normelor şi deciziilor sau rezultatelor Separarea adecvată a responsabilităţilor Există patru recomandări generale pentru o bună separare a responsabilităţilor, în scopul prevenirii atât a fraudelor, cât şi a erorilor, recomandări care au o relevanţă deosebită pentru auditori Separarea gestiunii activelor şi pasivelor de contabilitate Când una şi aceeaşi persoană îndeplineşte ambele funcţii, creşte riscul ca acea persoană să utilizeze resursele în interese personale şi să "ajusteze" evidenţele contabile pentru a-şi camufla răspunderea Separarea autorizării operaţiunilor de gestiunea activelor asociate acestora În măsura posibilităţilor, este de dorit să se evite situaţiile în care persoanele care autorizează anumite operaţiuni au şi dreptul de a dispune de activul corespunzător Spre exemplu, nu ar trebui ca una şi aceeaşi persoană să autorizeze efectuarea unei donaţii şi să semneze ordinul de plată destinat plăţii respectivei donaţii Autorizarea unei operaţiuni şi gestiunea activului asociat ei de către una şi aceeaşi persoană majorează probabilitatea unor deturnări de active, comise de persoane din interiorul organizaţiei Separarea sarcinilor operaţionale de sarcinile contabile Dacă fiecare departament sau diviziune dintr-o organizaţie ar răspunde de ţinerea propriilor registre şi evidenţe contabile, ar exista tentaţia de a influenţa rezultatele, pentru a îmbunătăţi performanţele raportate De pildă, dacă personalul contabil din cadrul unei subunităţi ar participa la predarea în consum a materiilor prime, poate apare interesul/riscul că acesta să majoreze (ajusteze) cantităţile şi alte informaţii din bonul de consum, oferind cantităţilor suplimentare destinaţii ce nu au legătură cu interesele unităţii Pentru a asigura existenţa unor informaţii nepărtinitoare, funcţia de ţinere a evidenţelor contabile este, de regulă, inclusă într-un departament separat, supus ierarhic contabilului-şef sau directorului financiar Din aceleaşi motive, nu este recomandată participarea personalului din serviciul de contabilitate la inventarierea elementelor patrimoniale Separarea sarcinilor legate de TI de sarcinile principalilor utilizatori din afara sistemului TI Este absolut necesară separarea sarcinilor de programare de cele de operare informatică, de limitare a accesului operatorului la programele sursă, la modificarea procedurilor de prelucrare a informaţiei contabile etc Fireşte, gradul de separare a sarcinilor şi responsabilităţilor depinde întro foarte mare măsură de dimensiunile organizaţiei În numeroase companii mici nu este practică separarea sarcinilor într-atât de detaliat pe cât s-a 158 relevat mai sus În asemenea cazuri, s-ar putea impune o modificare în probele auditului Autorizarea corespunzătoare a operaţiunilor şi activităţilor Orice operaţiune trebuie corect autorizată, pentru ca mecanismele de control să poată fi considerate satisfăcătoare La polul opus, dacă orice persoană din organizaţie ar putea achiziţiona sau dispune de active după propria voinţă sau interese, s-ar instaura un haos general Există şi o deosebire între autorizare şi aprobare Autorizarea reprezintă o decizie ce ţine de politica întreprinderii şi vizează fie o categorie generală de operaţiuni, fie operaţiuni specifice luate în parte Aprobarea reprezintă aplicarea în practică a deciziilor de autorizare generală ale managementului De exemplu, să presupunem că managementul defineşte o politică de autorizare a comenzilor de reaprovizionare cu materii prime în momentul în care întreprinderea nu mai dispune decât de stocul necesar pentru 3 săptămâni de producţie Aceasta este o autorizare generală Când un departament face o comandă de materii prime, angajatul responsabil de ţinerea evidenţelor permanente ale stocurilor aprobă comanda, pentru a indica faptul că politica de autorizare a fost respectată În multe alte cazuri, computerul face aprobarea generală a operaţiunilor Întocmirea de documente şi evidenţe contabile riguroase Documentele trebuie să fie adecvate pentru a oferi o asigurare rezonabilă privind faptul că toate activele sunt controlate corespunzător şi că toate operaţiunile sunt înregistrate corect Spre ilustrare, dacă departamentul de recepţionare a bunurilor întocmeşte o notă de intrare-recepţie în momentul primirii unei livrări de materii prime, departamentul care asigură evidenţa datoriilor faţă de furnizori poate analiza caracteristicile produselor şi cantităţile din factura furnizorului, comparând-o cu informaţiile din nota de intrarerecepţie şi din comanda anterior efectuată Există o serie de principii relevante care dictează conceperea şi utilizarea adecvată a documentelor şi evidenţelor contabile Documentele ar trebui să fie: - prenumerotate în serii succesive, pentru a facilita identificarea şi urmărirea documentelor care lipsesc şi pentru a permite localizarea documentelor necesare la un moment ulterior (afectează semnificativ exhaustivitatea, ca obiectiv de audit legat de operaţiuni); - întocmite la data când are loc operaţiunea sau cât mai curând după această dată; - suficient de simple, pentru a asigura buna lor înţelegere de către utilizatori şi pentru a încuraja întocmirea lor corectă; 159 - concepute pentru utilizări multiple (în măsura posibilităţilor), pentru a minimiza numărul de formulare diferite Procedurile care asigură realizarea unor evidenţe contabile riguroase ar trebui detaliate în manuale de sistem, pentru a se încuraja aplicarea lor consecventă Manualele ar trebui să ofere suficiente informaţii pentru a facilita realizarea adecvată a evidenţelor contabile şi pentru a menţine un control suficient al surselor şi resurselor organizaţiei Controlul fizic vizând activele şi evidenţele contabile Pentru a menţine un sistem de control intern viguros, este esenţial ca activele şi evidenţele contabile să fie protejate Dacă activele nu sunt păzite, ele pot fi furate sau deturnate Dacă documentele nu sunt adecvat protejate, ele pot fi sustrase, deteriorate sau pierdute În cazul în care s-ar produce asemenea evenimente, procesul contabil şi operaţiunile curente ar putea fi grav perturbate Când o companie este puternic informatizată, este deosebit de important ca echipamentele, programele şi fişierele sale informatice să fie bine protejate Verificări independente ale aplicării şi rezultatelor Ultima categorie de activităţi de control constă în verificarea riguroasă şi anonimă a celorlalte patru categorii, deseori numită verificare independentă sau verificare internă Nevoia efectuării unor verificări independente apare deoarece rigoarea internă riscă să se "uzeze" în timp, dacă nu există un mecanism de verificare periodică În categoria acestor verificări intră cel puţin: controlul financiar preventiv, verificarea documentar-contabilă şi controlul de gestiune etc 102 Este posibil ca angajaţii să uite să aplice o normă, să nu aplice deliberat o procedură sau să devină neglijenţi dacă nimeni nu-i supraveghează În plus, indiferent de calitatea mecanismelor de control, se pot produce greşeli (ne)intenţionate O caracteristică esenţială a persoanelor care aplică procedurile de verificare internă este independenţa de indivizii răspunzători la origine de pregătirea datelor Cel mai puţin costisitor mijloc de verificare internă este separarea responsabilităţilor în modul prezentat mai devreme Auditorii obţin o înţelegere a mediului de control şi a evaluării riscurilor cam de aceeaşi manieră în majoritatea misiunilor, însă înţelegerea activităţilor de control variază semnificativ Pentru clienţii mici, se obişnuieşte identificarea unui număr mic de activităţi de control sau chiar a nici unei activităţi, deoarece mecanismele de control ale acestor clienţi Este recomandat să facem o anumită distincţie între verificare, care ne duce mai degrabă la înţelesul de comparare pentru conformitate, şi evaluare, care presupune mult mai multe probleme şi nuanţe 160 102 sunt, de cele mai multe ori, ineficace, din cauza lipsei de personal În acest caz, practicianul fixează un risc de control estimat mai mare Pentru clienţii cu mecanisme de control complexe pe care auditorul le consideră excelente, deseori este potrivit să se identifice numeroase mecanisme de control în faza de înţelegere În alte misiuni, auditorul ar putea identifica un număr limitat de mecanisme de control în cursul acestei faze, pentru a analiza apoi alte mecanisme suplimentare, în fazele ulterioare ale procesului de audit Amploarea identificării mecanismelor de control depinde de raţionamentul profesional al auditorului 6 2 4 Sistemul de comunicare şi informare Informarea şi comunicarea internă eficientă pot ajuta managerii prin sporirea resurselor veritabile disponibile în procesul decizional Din această perspectivă, companiile, şi nu numai, trebuie să fie convinse că relaţionarea informaţională performantă reprezintă un avantaj şi nu o povară Iar auditorul este "condamnat" să aprecieze măsura în care clientul său tinde către acest ideal Scopul sistemului de informare şi comunicare contabilă 103 al unei entităţi constă în identificarea, asamblarea, clasificarea, analizarea, înregistrarea şi raportarea operaţiunilor entităţii şi evidenţa răspunderii privind activele şi pasivele asociate acestor operaţiuni Un sistem de informare şi comunicare contabilă conţine mai multe componente secundare, formate, de obicei, din categorii de operaţiuni, cum ar fi intrările în sistem, care includ: intrări de servicii (materiale şi imateriale) şi intrări de bunuri, achiziţii de imobilizări şi aprovizionări de stocuri, achitarea furnizorilor şi aşa mai departe Pentru fiecare categorie de operaţiuni, sistemul contabil trebuie să atingă toate cele şase obiective de audit referitoare la operaţiuni (apariţie - realitate, exhaustivitate, acurateţe, cronologie - separarea exerciţiilor financiare, clasificare, prezentare şi descriere) Pentru o societate comercială mică, al cărei proprietar este activ implicat în activitatea de exploatare, un sistem de contabilitate informatizat şi simplu, care necesită mai ales implicarea unui singur contabil cinstit şi competent, ar putea reprezenta un sistem informaţional-contabil adecvat O 103 În literatura de specialitate mai este denumit şi sistemul informaţional contabil 161 companie mai mare are nevoie de un sistem mai complex, care să cuprindă responsabilităţi clar definite şi proceduri scrise Pentru a înţelege construcţia unui sistem informaţional-contabil, auditorul este obligat sau nevoit să determine: - principalele categorii de operaţiuni ale entităţii, - modul în care sunt iniţiate aceste operaţiuni, - evidenţele contabile existente şi natura lor, - modul în care operaţiunile sunt prelucrate, de la iniţiere până la încheiere, inclusiv măsura şi natura folosirii mijloacelor informatice, - natura şi detaliile procesului de raportare financiară folosit De obicei, aceste elemente sunt identificate şi documentate printr-o descriere narativă a sistemului sau printr-o diagramă a secvenţelor procesului Modul în care funcţionează sistemul informaţional-contabil este deseori determinat prin identificarea drumului parcurs de una sau mai multe operaţiuni prin sistem, procedură numită "parcursul operaţiunii" Un exemplu din noianul de diagrame ce pot fi utilizate de auditorii financiari în demersul lor de înţelegere şi apreciere a controlului intern este prezentat la pagina 183 6 2 5 Supervizarea sau auditul intern Activităţile de supervizare se referă la evaluarea permanentă sau periodică de către management a calităţii funcţionării controlului intern, cu scopul de a determina dacă elementele acestuia sunt aplicate şi funcţionează şi relaţionează conform prevederilor şi dacă ele sunt modificate corespunzător schimbărilor circumstanţelor Informaţiile necesare pentru evaluarea şi modificarea sistemului provin din diverse surse, printre care se numără: - studii ale mecanismelor de control intern existente, - rapoarte ale auditorilor interni, - rapoarte privind abaterile de la activităţile de control prescrise, - rapoarte ale organelor de verificare externe, - reacţii transmise de personalul operativ şi reclamaţiile terţilor, şi în mod special ale clienţilor, - etc Cele mai importante lucruri pe care trebuie să le ştie (cunoască) un auditor extern despre supervizare sunt reprezentate de principalele tipuri de activităţi de monitorizare pe care le desfăşoară o companie şi modul în care 162 acestea contribuie la modificarea 104 mecanismelor de control intern în caz de necesitate Interviurile şi discuţiile cu managerii reprezintă cea mai obişnuită modalitate de obţinere a acestor informaţii În numeroase companii, în special cele mari, existenţa unui departament de audit intern este esenţială pentru a se asigura o supervizare eficientă Pentru ca o funcţie de audit intern să fie eficace, este vital ca personalul de audit să fie independent atât de departamentele operative, cât şi de departamentul contabil, precum şi ca auditorii interni să fie direct subordonaţi unui nivel de autoritate cât mai înalt din organizaţie, adică fie managementului de vârf, fie consiliului de administraţie Dimensiunea unei companii are un impact semnificativ asupra naturii controlului intern şi asupra mecanismelor specifice de control aplicate în cadrul activităţii În mod evident, este mai greu să faci o separare adecvată a sarcinilor într-o companie mică La fel, nu ar fi rezonabil să se aştepte ca o societate mică să aibă revizori de gestiune şi, cu atât mai puţin, auditori interni Cu toate acestea, dacă sunt examinate diversele subcomponente ale controlului intern, devine evident faptul că majoritatea se aplică atât companiilor de dimensiuni mari, cât şi societăţilor mai mici Deşi formalizarea politicilor întreprinderii prin manuale de proceduri nu este o practică larg răspândită, o companie mică poate, fără nici o îndoială, dispune de: - personal competent şi fiabil, cu niveluri ierarhice clar definite, - proceduri adecvate pentru autorizarea, executarea şi înregistrarea operaţiunilor, - documente justificative, evidenţe contabile şi rapoarte adecvate, - mecanisme de control fizic privind activele şi evidenţele contabile, - verificări şi evaluări independente ale aplicării şi rezultatelor, într-o proporţie mai limitată Un mecanism de control important de care dispun companiile mici constă în cunoştinţele şi implicarea principalei persoane cu funcţii administrativ - executive, care este deseori un proprietar-gestionar Un interes personal în organizaţie şi o relaţie strânsă cu angajaţii acesteia fac posibile evaluarea riguroasă a competenţei angajaţilor şi eficacitatea sistemului pe ansamblu De pildă, controlul intern poate fi consolidat de o manieră semnificativă dacă proprietarul îndeplineşte conştiincios sarcini precum: semnarea tuturor cecurilor după o verificare riguroasă a tuturor documentelor justificative, verificarea confruntării extraselor bancare cu soldurile din evidenţele contabile, examinarea situaţiilor recapitulative ale 104 Mai bine spus îmbunătăţirea sau perfecţionarea mecanismelor de control intern 163 creanţelor comerciale trimise clienţilor, aprobarea creditelor, examinarea întregii corespondenţe cu clienţii şi furnizorii, aprobarea creanţelor incerte sau irecuperabile etc 6 3 Comitetul de audit - referinţă a sistemului de comunicare financiară Încă de la marea criză economică de la începutul anilor '30, nevoia de a creşte gradul de transparenţă şi de control al acurateţei informaţiilor din situaţiile financiare a devenit tot mai pregnantă Printre elementele cheie ale raportării financiare se află şi comitetul de audit Acest termen este din ce în ce mai vehiculat şi în România Exigenţele legate de globalizare şi pătrunderea a cât mai multor corporaţii internaţionale în mediul de afaceri autohton, precum şi de încercarea de a stimula bursa şi investitorii în general au determinat introducerea conceptului şi funcţiei de comitet de audit şi în ţara noastră Pentru unii manageri această noţiune este considerată puţin abstractă, iar pentru alţii rolul unui comitet nu este foarte clar Având în vedere faptul că şi investitorii trebuie să aibă cunoştinţă de acest termen, am considerat necesară o prezentare succintă care să cuprindă atât elemente teoretice, dar şi practice referitoare la activitatea unui comitet de audit Pentru realizarea acestei etalări s-au urmărit în principal aspecte cu caracter general în ceea ce priveşte definirea şi rolul comitetului de audit S-a pus accentul pe elemente prezentate în Codurile de Cea mai Bună Practică, precum Combined Code, Smith Code etc, care oferă informaţii detaliate cu privire la componenţa, atribuţiile şi funcţionarea unui comitet de audit Referitor la elemente de natură practică, s-a apelat la experienţa dezvoltată de-a lungul timpului de către Institutul American al Contabililor Autorizaţi (AICPA) Pe baza cercetărilor efectuate de această instituţie, în partea a doua a studiului se prezintă elemente care ţin de activitatea practică a unui comitet de audit, cu scopul de a spori gradul de înţelegere al acestui departament în cadrul unei corporaţii Informaţiile obţinute din diverse surse 105 au fost astfel compilate şi segmentate încât să se prezinte o imagine clară, sintetică, dar în acelaşi timp bogată în informaţii, asupra rolului şi responsabilităţilor unui comitet de audit 105 L Stanciu & L Stoicescu, Studiu privind necesitatea, rolul şi responsabilităţile şi eficienţa unui comitet de audit, Audit financiar, nr 1, 2009 pg 3 – 11 şi E Dobre, Rolul şi funcţiile comitetului de audit – practici şi reglementări, Audit financiar nr 12, 2007, pg 31 – 38 164 6 3 1 Comitetul de audit - element esenţial în guvernanţa corporativă Termenul de comitet de audit a fost pentru prima dată introdus de bursa de la New York - New York Stock Exchange (NYSE) în anul 1939 Mai târziu, în anul 1972, comisia SUA de valori mobiliare US SEC recomandă ca societăţile listate la bursă să aibă un comitet de audit, format din directori non-executivi, iar în 1979 NYSE impune drept cerinţă de listare ca toţi membrii unui comitet de audit al unei societăţi listate să fie independenţi În februarie 1999, comitetele de audit au fost în atenţia publicului, în urma creării unui comitet format din persoane din cadrul NYSE, NASDAQ, companii publice şi societăţi de expertiză contabilă din SUA Aceştia au realizat un raport şi Recomandări al Comitetului Blue Ribbon în Vederea îmbunătăţirii Eficienţei Comitetelor de Audit Raportul sublinia rolul crucial pe care îl are comitetul de audit în raportarea financiară Istoria recentă a comitetului de audit este strâns legată de scandalurile din SUA - Enron, Worldcom, Adelphia etc La baza procesului de raportare financiară este comitetul de audit al unei corporaţii Încă de la începuturile lor, comitetele de audit au avut responsabilităţi stabilite prin lege, însă, după scandalul Enron, acestora li s-au dat responsabilităţi sporite prin Actul Sarbanes-Oxley din 2002 Astfel, au luat naştere Coduri de Cea Mai Bună Practică, care sunt unelte importante în reforma guvernanţei corporative, care sporesc gradul de responsabilizare al celor implicaţi în guvernanţa corporativă Acestea variază de la Coduri voluntare - precum cele bazate pe principiile OECD, Organizaţia pentru Cooperare şi Dezvoltare Economică, până la coduri care sunt inserate în regulamentele pieţelor de capital Combined Code în Regatul Unit al Marii Britanii sau Sarbanes Oxley Act în Statele Unite ale Americii Codurile, care sunt voluntare în aplicare sau reprezintă una din cerinţele bursei, pot fi uşor revizuite pentru a fi aduse la zi cu cerinţele din mediul de business şi cu cerinţele celor afectaţi de activitatea companiei Codurile care sunt impuse prin lege vor fi însoţite de penalităţi şi sancţiuni pentru cei care nu le aplică, rezultând o activitate ultraprudentă din partea managementului de a se conforma cu litera legii Nu încercăm să facem o dezbatere cu privire la avantajele şi dezavantajele sistemului bazat pe principii şi pe regula "respecţi sau explici" sau al celui de a respecta ad litteram cerinţele, deoarece fiecare opinie are atât susţinătorii, cât şi oponenţii ei şi nu fac obiectul prezentării noastre 165 Pentru a putea înţelege necesitatea existenţei, definiţia, rolul şi responsabilităţile comitetului de audit trebuie să pornim de la conceptul de guvernanţă corporativă Aceasta nu are deocamdată o definiţie singulară şi unanim acceptată Este definită în literatura de specialitate drept "comportamentul etic corporatist al directorilor şi al celorlalte persoane responsabile de guvernanţă într-o întreprindere, în crearea de bunăstare pentru toţi cei afectaţi de activitatea companiei", sau "un termen general care descrie modul în care drepturile şi responsabilităţile sunt divizate între management şi acţionari", într-un sens mai larg, poate fi definit ca şi o "relaţie a companiei cu societatea" Definiţia dată de OECD este următoarea: „"Sistemul prin care corporaţiile sunt conduse şi controlate Structura guvernanţei corporative specifică distribuţia drepturilor şi responsabilităţilor între diferiţii participanţi în activitatea corporaţiei, precum şi regulile şi procedurile ce trebuie urmate în luarea deciziilor de business"” Obiectivul final este acela de a spori pe termen lung valoarea investiţiei acţionarilor, prin îmbunătăţirea performanţei economice Aceasta se realizează prin: - integritate în activitatea desfăşurată; - respectarea regulilor, procedurilor şi legislaţiei; - asigurarea unei bune reputaţii şi încredere în vederea atragerii de investiţii viitoare Elementele menţionate anterior se reflectă prin modul în care cei responsabili de guvernanţă urmăresc să atingă obiectivele corporaţiei şi să creeze un echilibru între obiectivele acesteia şi cele ale societăţii în general Cerinţele guvernanţei corporatiste menţionează comitete precum cele: de audit, de nominalizare, de remunerare Având în vedere faptul că auditorul îşi focalizează în primul rând atenţia asupra procesului de raportare financiară al unei corporaţii, implicarea sa în procesul de îmbunătăţire a guvernanţei corporative se poate face prin: - încurajarea managementului în a adopta sisteme de contabilitate şi de control intern adecvate; - asistarea celor responsabili cu guvernanţa corporativă în implementarea de practici ce sporesc eficienţa şi transparenţa Astfel, un element cheie în procesul de guvernanţă corporativă îl reprezintă comitetul de audit Lupta pentru integritatea informaţiilor din situaţiile financiare şi încrederea în acestea depinde de un echilibru ce trebuie realizat între presiunile exercitate de management, regulator, investitori şi interesul public 166 6 3 2 Rolul si responsabilităţile comitetului de audit În conformitate cu precizările Codului Combinat, consiliul de administraţie (supraveghere) are responsabilitatea de a stabili un comitet de audit format din cel puţin trei membri, care sunt membri non-executivi independenţi Pentru a fi independent, un membru al comitetului de audit nu trebuie să aibă relaţii cu compania care ar interfera cu exercitarea unei judecăţi independente şi să nu fi lucrat în companie în ultimii trei ani În funcţie de dimensiunea corporaţiei, comitetul poate avea până la cinci membri Este recomandabil ca aceştia să aibă experienţă vastă în domeniul de activitate în care operează corporaţia Cel puţin unul dintre membri trebuie să aibă experienţă şi cunoştinţe solide în domeniul financiar Conform Sarbanes-Oxley Act din 2002, acesta este clasificat drept „expertul financiar al comitetului de audit” Acesta trebuie să fie la curent cu principiile contabile general acceptate, să înţeleagă modul în care opţiunile în raportarea financiară şi tratamentele contabile pot afecta rapoartele financiare emise de corporaţie şi de asemenea să înţeleagă procedurile de control intern Conform Sarbanes-Oxley Act, numele acestor experţi trebuie inclus în raportul anual În Ghidul Smith se precizează că preşedintele consiliului de supraveghere nu poate fi membru în comitetul de audit Propunerile pentru membrii comitetului se fac de către comitetul de nominalizare, dar responsabilitatea alegerii acestora revine consiliului director Mandatul unui membru se face, de regulă, pe o perioadă de până la trei ani, dar nu trebuie să se depăşească mai mult de trei mandate a câte trei ani Companiile trebuie să asigure training şi seminarii de formare profesională continuă membrilor, pentru a se asigura că aceştia cunosc în detaliu obligaţiile şi responsabilităţile comitetului, precum şi cele mai relevante aspecte financiar contabile Întâlnirile comitetului se stabilesc de către directorul comitetului, în consultare cu secretarul general al corporaţiei Este recomandabil să existe suficiente întâlniri în cursul unui an, astfel încât să se poate atinge toate obiectivele stabilite şi să se îndeplinească toate responsabilităţile comitetului Mai multe detalii privind discuţiile de la întâlnirile comitetului sunt prezentate în partea a doua a studiului, prin detalierea termenului de sesiune executivă Corporaţia trebuie să pună la dispoziţia membrilor comitetului resurse suficiente pentru a-şi desfăşura activitatea Aceştia trebuie să aibă acces la serviciile oferite de secretariatul companiei, incluzând: asistarea 167 directorului consiliului director în a întocmi programul comitetului de audit, întocmirea de grafice şi rapoarte etc Secretarul general trebuie să se asigure că fiecare membru al comitetului primeşte informaţii pertinente şi că se acordă atenţie aspectelor identificate de aceştia De asemenea, consiliul de administraţie trebuie să asigure servicii de consultanţă financiară, contabilă, legală etc în cazul în care sunt necesare membrilor comitetului Majoritatea rolurilor comitetului de audit ce se vor etala sunt exprimate prin intermediul termenilor „supraveghere”, „evaluare” şi „revizuire” a unei funcţii Nu este responsabilitatea comitetului să realizeze aceste funcţii, care în fond sunt ale altora, ca, de exemplu, întocmirea situaţiilor financiare de către management sau examinarea lor de către auditori externi Dacă ar îndeplini aceste funcţii, atunci activitatea lor ar interfera cu cea a managementului sau auditorului Oricum, un nivel ridicat al acestui rol de supraveghere conduce la o muncă ce necesită o bună planificare şi organizare Conducerea este responsabilă astfel pentru remunerarea muncii depuse de către membrii comitetului În acest sens, conducerea trebuie să pornească de la nivelul de remunerare al membrilor CA non-executivi La acesta se adaugă un surplus pentru a recompensa responsabilităţile adiţionale pe care membrii le au Nivelul remuneraţiei trebuie să ţină cont de cel al altor membri din CA De exemplu, responsabilităţile şi timpul petrecut în corporaţie de preşedintele CA sunt mai largi decât ale unui membru al comitetului de audit, iar acest lucru trebuie să se reflecte în nivelul remuneraţiei primite Rolurile şi responsabilităţile comitetului trebuie scrise în documente interne ale corporaţiei şi includ: - monitorizarea integrităţii informaţiilor din situaţiile financiare şi a comunicărilor formale în relaţie cu rezultatele sau poziţia financiară, prin revizuirea judecăţilor care au stat la baza acestor rapoarte; - revizuirea riscurilor şi rigorilor, în cazul în care acest lucru nu este deja realizat de un consiliu de evaluare al riscurilor sau chiar de consiliul director; - să monitorizeze şi să revizuiască eficienţa departamentului de audit intern; - să facă recomandări consiliului de administraţie sau supraveghere în chestiuni legate de comunicările cu acţionarii, cu înlocuirea sau prelungirea angajamentului auditorului extern şi să aprobe remuneraţia acestuia; - să revizuiască şi să monitorizeze independenţa şi obiectivitatea auditorului extern, precum şi eficienţa procesului de audit, prin luarea în considerare a reglementărilor profesionale în acest sens; 168 - să dezvolte şi să implementeze proceduri în ce priveşte acceptabilitatea de servicii non audit din partea auditorului extern independent O secţiune separată din raportul anual al corporaţiei trebuie să conţină un rezumat al activităţii întreprinse de comitetul de audit De asemenea, în raportul anual trebuie explicat acţionarilor cum au fost menţinute obiectivitatea şi independenţa auditorului extern în cazul în care acesta prestează şi servicii non audit Unul din rapoartele emise public de către companie trebuie să conţină un Raport al Comitetului de Audit Acesta va cuprinde, printre altele: numele fiecărui membru al comitetului de audit şi faptul că membrii acestuia au revizuit şi discutat cu conducerea corporaţiei situaţiile financiare în ansamblu, precum şi raţionamentele utilizate în aplicarea principiilor contabile 6 3 3 Instrumentele utilizate în exercitarea mandatului Institutul American al Contabililor Autorizaţi (AICPA) este un organism profesional american a cărui misiune 106 este de a pune la dispoziţia membrilor săi resurse, informaţii în scopul de a-i sprijini în prestarea de servicii profesionale la cel mai înalt nivel de care să beneficieze publicul în general, angajatorii sau clienţii Se acordă o atenţie deosebită acelor aspecte ale profesiei care au cel mai mare impact asupra publicului şi necesită încrederea în cunoştinţele şi raţionamentele contabililor publici autorizaţi În acest sens, printre multe alte interpretări, informaţii, ghiduri de aplicare a diferite aspecte legate de contabilitate şi audit, AICPA a realizat un set de „instrumente de lucru” care să ajute practicienii să înţeleagă mai bine îndeplinirea rolurilor şi responsabilităţilor comitetului de audit În continuare, ne referim la aceste instrumente, aşa cum sunt ele prezentate de AICPA, şi anume sub formă de chestionare menite să sporească gradul de înţelegere al celor care interacţionează sau chiar fac parte dintr-un comitet de audit Evaluarea auditorului extern independent • Întrebări pentru membrii comitetului de audit 1 S-a întâlnit auditorul cu comitetul de audit atunci când i s-a cerut? 2 A prezentat auditorul aspecte cu privire la programe interne antifraudă? 106 www aicpa org 169 3 A informat auditorul comitetul cu privire la riscuri care nu erau în atenţia corporaţiei? 4 A discutat în mod adecvat auditorul problemele legate de calitatea raportării financiare, inclusiv aplicabilitatea de principii contabile noi şi semnificative? 5 Sunt indicii că managementul ar exercita influenţă asupra independenţei auditorului? 6 Sunt indicii că auditorul este rezervat sau ezită a aduce în discuţie probleme care ar afecta în mod negativ activitatea managementului? 7 Este satisfăcut comitetul de audit de planificarea şi realizarea misiunii de audit, inclusiv de controlul intern asupra raportării financiare? 8 S-a revizuit activitatea de non audit desfăşurată de către auditor Sunteţi convinşi de faptul că independenţa acestuia nu este afectată în cursul acestei misiuni? 9 Evaluaţi mărimea firmei de audit şi comparaţi veniturile de la corporaţie cu cele totale ale firmei (biroului) de audit Este firma de audit sau partenerul responsabil dependent de corporaţie? 10 Este comitetul de audit mulţumit de relaţia cu auditorul? În această estimare trebuie să se ţină cont de aspecte precum: dacă partenerul din firma de audit a participat la adunările comitetului de audit, dacă auditorii au fost fermi în discuţiile purtate cu comitetul, dacă auditorul a prezentat la timp, conform programului, situaţiile solicitate 11 Au fost onorariile de audit rezonabile în comparaţie cu cele care se practică la firmele de aceeaşi mărime sau activitate? 12 A furnizat auditorul observaţii constructive, recomandări în zone care necesitau îmbunătăţiri, cu precădere în sistemul de control intern sau de raportare financiară? • Întrebări pentru directorul departamentului de audit intern 1 Din perspectiva dumneavoastră, prin colaborarea cu auditorul extern, sunteţi mulţumit de scopul, natura, durata şi extinderea misiunii de audit şi a procedurilor aplicate de acesta? 2 A colaborat auditorul extern cu dumneavoastră pentru a asigura coordonarea eforturilor de audit în vederea acoperirii tuturor aspectelor identificate şi pentru a eficientiza auditul în general? 3 Sunteţi mulţumit de cunoştinţele, aptitudinile şi abilităţile personalului care a realizat misiunea de audit? 4 A fost colaborarea între auditor şi auditul intern bazată pe respect şi profesionalism? Sunteţi de acord că auditorul extern este independent, în ciuda serviciilor non-audit pe care le prestează? 170 5 Aveţi informaţii care ar putea ameninţa independenţa auditorului? Aveţi informaţii despre membrii echipei de audit care nu ar putea fi independenţi? 6 Dacă ar fi alegerea dumneavoastră, l-aţi angaja pentru încă o misiune de audit? Dacă da, ce schimbări aţi propune pentru misiunea viitoare? • Întrebări pentru directorul departamentului financiar 1 Din perspectiva dumneavoastră, prin colaborarea cu auditorul extern, sunteţi mulţumit de scopul, natura, durata şi extinderea misiunii de audit şi a procedurilor aplicate de acesta? 2 Sunteţi mulţumit de cunoştinţele, aptitudinile şi abilităţile personalului care a realizat misiunea de audit? 3 Sunteţi mulţumit de partenerii/asociaţii firmei de audit care au fost repartizaţi pentru această misiune, precum şi de şefii de echipe? 4 Dacă ar fi alegerea dumneavoastră, l-aţi angaja pentru încă o misiune de audit? Dacă da, ce schimbări aţi propune pentru misiunea viitoare? • Întrebări pentru auditorul extern independent 1 Este firma dumneavoastră autorizată de un organism profesional (CAFR) pentru a desfăşura activitate de audit? 2 Care au fost rezultatele ultimei inspecţii din partea organismului profesional? Ce calificativ aţi obţinut pe o scară de la A la D, existentă ? Evaluarea echipei de audit intern 1 Se poate considera că departamentul îşi foloseşte timpul şi resursele efectiv şi eficient? 2 Structura şi mărimea departamentului sunt adecvate pentru a-şi îndeplini obiectivele? 3 Este adecvat nivelul de pregătire al auditorilor interni? 4 Este departamentul obiectiv? Care sunt procedurile care asigură obiectivitatea acestuia? 5 Cunoştinţele tehnice permit personalului din departament să îşi desfăşoare activitatea în mod eficient? 6 Are departamentul un program de perfecţionare continuă? 7 Sunt membri în departament ce posedă cunoştinţe în ce priveşte mediul informatic, pentru a se adapta la tehnologia informaţiei prezentă în corporaţie? 8 Este bine planificată munca departamentului? Planificarea include programe scrise de audit? 9 Ce tipuri de rapoarte sunt emise şi cui se adresează acestea? 10 Sunt prezentate rapoartele în timp util? 11 Conţin rapoartele detalii suficiente pentru a fi urmate de acţiuni eficiente din partea managementului sau al comitetului de audit? 171 12 Managementul răspunde în timp util la recomandările departamentului de audit intern? 13 Care a fost implicarea efectivă a departamentului la misiunea de audit extern? 14 Procedurile de audit intern cuprind atât elemente operaţionale, cât şi financiare? 15 Ce se poate face în viitor pentru a spori eficienţa departamentului? 16 Până la ce nivel se realizează externalizarea unor servicii în ce priveşte funcţia de audit intern? 17 A fost revizuită în ultimul an activitatea desfăşurată de membrii departamentului de audit intern? Care a fost rezultatul acestei evaluări? 6 3 4 Frauda si responsabilităţile comitetului de audit Comitetul de audit trebuie să joace un rol activ în prevenirea şi detectarea fraudei, asigurându-se că managementul şi auditorii externi au stabilite proceduri în acest sens De asemenea, trebuie să acorde o atenţie deosebită în asigurarea faptului că se iau măsuri concrete şi eficiente în cazul în care frauda este identificată Înţelegerea termenului de fraudă este esenţială pentru membrii comitetului de audit în îndeplinirea responsabilităţilor Comitetul trebuie să fie conştient că frauda care poate să afecteze corporaţia se poate încadra în una dintre următoarele trei categorii: - frauda din partea managementului, care implică top-managementul, prin interpretarea eronată a informaţiilor din situaţiile financiare, furtul sau neutilizarea adecvată a resurselor companiei; - frauda din partea angajaţilor, care implică angajaţi care nu au funcţii "înalte", prin furt sau neutilizare corespunzătoare a resurselor companiei; - frauda externă, care implică aceleaşi elemente specificate mai sus, dar din partea celor care nu sunt nici în management, nici angajaţi în companie 107 Membrii comitetului trebuie să se asigure că organizaţia are proceduri şi programe antifraudă, iar componentele controlului intern sunt menite a preveni frauda 107 Clasificarea este foarte utilă, dar nu absolută, clasificările şi îndeosebi limitele sunt cel puţin ingenioase 172 6 3 5 Condiţii privind desfăşurarea unei sesiuni executive O sesiune executivă a comitetului de audit este o practică ce poate fi realizată de comitet cu orice ocazie, dar se recomandă să se realizeze prin întâlniri cu membri cheie din executiv şi din departamentul financiar Acestea ar putea fi realizate la fiecare reunire a comitetului de audit prin discuţii separate cu câte o singură persoană menţionată anterior De exemplu, este recomandat ca directorul departamentului de audit intern sau auditorul extern să fie subiectul fiecărei sesiuni executive, în timp ce directorul financiar să fie solicitat doar înainte de publicarea rezultatelor financiare ale corporaţiei În timpul unei asemenea sesiuni, minutele întâlnirii de obicei nu sunt înregistrate, dar în cazul în care au loc întâlniri cu reprezentanţi ai departamentului de raportări financiare, alte persoane din corporaţie nu au voie să participe Scopul este să li se pună cât mai multe întrebări acestora într-un mediu privat oarecum, pentru a elimina reticenţa în a da răspunsuri clare, corecte şi detaliate Spre ilustrare, în cazul în care are loc întâlnirea cu reprezentantul compartimentului de audit intern, directorul departamentului financiar nu trebuie să fie prezent la sesiune Întrebările adresate trebuie să fie întrebări deschise, întrebări la obiect, într-un mediu care se consideră a fi o sursă foarte bună de informare pentru comitetul de audit Membrii comitetului trebuie să posede cunoştinţe solide în ce priveşte contabilitatea, raportarea financiară, astfel încât să formuleze cele mai bune întrebări şi, pe baza răspunsurilor, să continue cu întrebările pentru a obţine lămuriri suplimentare Cel mai important lucru în aceste sesiuni este ascultarea cu foarte mare atenţie a răspunsurilor primite, pentru a putea lămuri ulterior orice aspect care nu a fost lămurit iniţial De obicei, întrebările adresate sunt, într-un mediu deschis, întrebări la care se evită răspunsurile complete, acesta fiind de fapt şi motivul pentru care au loc aceste sesiuni şi anume de a crea un mediu propice respondentului să ofere toate informaţiile pertinente de care dispune Comitetul de audit trebuie să ţină seama în formularea întrebărilor de istoricul companiei, de (sub)ramura în care-şi desfăşoară activitatea, de climatul economic curent, de mediul competiţional etc Fiecare sesiune trebuie finalizată cu menţiunea că membrii comitetului de audit sunt la dispoziţia reprezentanţilor managementului companiei şi în afara acestor sesiuni executive şi ori de câte ori se consideră necesară informarea comitetului, managementul este încurajat să o facă 173 În continuare, prezentăm o serie de întrebări care sunt adresate interlocutorului în cadrul unei sesiuni executive Acestea reprezintă doar întrebări iniţiale care sunt adresate, cu menţiunea că membrii comitetului trebuie să posede cunoştinţe solide în domeniul financiar, pentru a putea pune întrebări suplimentare în vederea obţinerii de alte informaţii relevante, asupra realizării obiectivului activităţii unui comitet de audit • Întrebări pentru directorul departamentului financiar 1 Consideraţi că situaţiile financiare prezintă în mod fidel poziţia financiară a întreprinderii? (Notă: pentru societăţile listate la bursă există o declaraţie anuală care prezintă această certificare) 2 Consideraţi că notele informative incluse în situaţiile financiare sunt suficient de adecvate şi inteligibile pentru un investitor cu cunoştinţe medii? 3 Sunteţi mulţumit de activitatea desfăşurată de auditorul extern independent? 4 Aveţi informaţii cu privire la indemnizaţiile acordate membrilor din conducerea corporaţiei? 5 Aveţi cunoştinţă de existenţa elementelor de fraudă în organizaţie? Aveţi informaţii despre situaţii ce pot conduce la fraudă? 6 Prezentaţi situaţii unde tratamentele contabile folosite ar putea fi interpretate ca agresive Au existat situaţii unde politica fiscală adoptată ar putea fi considerată agresivă? 7 Există activităţi la nivel executiv pe care le consideraţi ca o încălcare a regulamentelor, a legislaţiei, a practicilor profesionale sau a standardelor de raportări financiare? 8 Aţi întâlnit situaţii în care organizaţia a trebuit să se conformeze cu cerinţele minime ale legislaţiei impuse, dar nu a realizat acest lucru prin cel mai ridicat nivel al standardelor de etică profesională? 9 Există vreo activitate în companie care consideraţi că necesită investigaţii suplimentare? 10 Vă simţiţi confortabil în a ridica probleme identificate în activitatea dumneavoastră, fără a avea teama de a fi sancţionat? 11 Sunt alte întrebări ce nu v-au fost adresate şi pe care le consideraţi relevante? • Întrebări pentru directorul general executiv 1 Consideraţi că situaţiile financiare prezintă în mod fidel poziţia financiară a întreprinderii? (Notă: pentru societăţile listate la bursă există o declaraţie anuală care prezintă această certificare) 2 Consideraţi că notele informative sunt suficient de adecvate şi inteligibile pentru un investitor cu cunoştinţe medii? 174 3 Sunteţi mulţumit de activitatea desfăşurată de auditorul extern independent? 4 Aveţi informaţii cu privire la indemnizaţiile acordate membrilor din conducerea corporaţiei? 5 Aveţi cunoştinţe despre neînţelegeri între management şi auditorul extern independent? 6 Există activităţi la nivel executiv pe care le consideraţi ca o încălcare a regulamentelor, a legislaţiei, a practicilor profesionale sau a standardelor de contabilitate? 7 Aţi întâlnit situaţii în care organizaţia a trebuit să se conformeze cu cerinţele minime ale legislaţiei impuse, dar nu a realizat acest lucru prin cel mai ridicat nivel al standardelor de etică profesională? 8 Există vreo activitate în companie care consideraţi că necesită investigaţii suplimentare? • Întrebări pentru directorul departamentului de audit intern 1 Per ansamblu, consideraţi că managementul cooperează cu echipa de audit intern? Are managementul o atitudine pozitivă în urma descoperirilor şi recomandărilor făcute de auditul intern? 2 Aveţi cunoştinţă de existenţa elementelor de fraudă în organizaţie? Aveţi informaţii despre situaţii ce pot conduce la fraudă? 3 Prezentaţi situaţii unde tratamentele contabile folosite ar putea fi interpretate ca agresive Au existat situaţii unde politica fiscală adoptată ar putea fi considerată agresivă? 4 Aţi întâlnit situaţii în care organizaţia a trebuit să se conformeze cu cerinţele minime ale legislaţiei impuse, dar nu a realizat acest lucru prin cel mai ridicat nivel al standardelor de etică profesională? 5 Aveţi libertatea de a realiza auditul în toate departamentele companiei? 6 Aţi fost restricţionat în vreun fel în obţinerea de probe de audit? 7 Aţi fost presat să modificaţi aspectele identificate sau să utilizaţi un limbaj care ar diminua efectul negativ asupra activităţii managementului? Se acordă importanţa cuvenită aspectelor identificate de dumneavoastră? 8 Vă simţiţi confortabil în a ridica probleme identificate în activitatea dumneavoastră, fără a avea teama de a fi sancţionat? 9 Există activităţi la nivel executiv pe care le consideraţi drept o încălcare a regulamentelor, a legislaţiei, a practicilor profesionale sau a standardelor de raportări financiare? • Întrebări adresate auditorului independent 1 Explicaţi procesul prin care firma de audit stabileşte dacă fiecare membru al echipei este independent şi obiectiv pentru această misiune În 175 mod particular, pentru serviciile non audit, cum afectează modul de remunerare al dumneavoastră şi al echipei independenţa? Sunteţi familiar cu vreo situaţie care ar putea duce la afectarea independenţei firmei sau a vreunui membru al echipei de audit? 2 V-au informat managementul, consilierii juridici sau alţi reprezentanţi ai corporaţiei cu privire la anumite aspecte care ar putea fi considerate încălcări ale regulamentelor, a legislaţiei, a standardelor de raportare financiară etc ? 3 Sunt elemente în situaţiile financiare, mai precis în notele explicative, unde consideraţi că ar trebui îmbunătăţit gradul de detaliere sau de transparenţă astfel încât să ajute utilizatorul acestora să înţeleagă mai bine informaţia prezentată? 4 Care tratamente contabile sau tranzacţii semnificative consideraţi că ar putea pune în dificultate un investitor? Ce informaţii adiţionale aţi prezenta în acest sens? 5 Bazându-vă pe procedurile de audit întreprinse, aveţi îndoieli asupra faptului că managementul nu utilizează în mod adecvat veniturile realizate? 6 În ce aspecte dumneavoastră şi managementul aţi avut opinii divergente? 7 Prezentaţi impresia dumneavoastră despre directorul departamentului de audit intern în relaţie cu acurateţea, prezentarea fidelă, completă a procesului de raportare financiară 8 S-a angajat firma dumneavoastră să presteze şi alte servicii în afară de audit extern şi care să nu fie deja aduse în atenţia comitetului? 9 Descrieţi ideile prezentate de dumneavoastră în discuţiile cu managementul pentru a îmbunătăţi sistemul intern de comunicare financiară 10 Descrieţi situaţii în care managementul a încercat să evite concordanţa cu standardele de contabilitate 11 Există vreo activitate în companie care consideraţi că necesită investigaţii suplimentare? De asemenea, se mai pot adresa o serie de întrebări şi reprezentantului compartimentului de control intern, directorului departamentului de informare, directorului departamentului de raportări financiare etc Interesul pentru comitetul de audit a sporit semnificativ în ultimii ani În acest scop, AICPA şi ERM (Enteprise Risk Management), la iniţiativa Universităţii Carolina de Nord, SUA, organizează la New York un workshop pentru a ajuta membrii comitetului de audit să înţeleagă aşteptările în curs de apariţie pentru risc mai mare de supraveghere şi să-şi dezvolte practici eficiente de audit sau de evaluare şi monitorizare a 176 tehnicilor utilizate pentru a gestiona riscurile entităţii, astfel încât să sporească cunoştinţele părţilor interesate Acest forum la nivel înalt este limitat la 60 de participanţi şi oferă acestora discuţii interactive pentru stabilirea unui dialog cu experţi care duc la tendinţele emergente legate de intersecţia ERM între comitetele de audit, de guvernare şi de planificare strategică, precum şi o oportunitate pentru schimbul de idei dintre alte persoane fizice care deservesc în prezent roluri în comitete de audit Pot participa membri ai comitetelor de audit sau alte persoane fizice care servesc în consiliile de administraţie, precum şi senior executives cu care interacţionează în mod frecvent comitetele de audit În încheiere, considerăm important de subliniat este faptul că membrii comitetului de audit trebuie, în primul rând, să-şi înţeleagă rolul şi responsabilităţile în cadrul unei corporaţii pentru a putea îndeplini eficient funcţia comitetului de audit Responsabilităţile suplimentare oferite comitetului în urma scandalurilor menţionate ar trebui să ducă la o mai mare grijă a acestora vizavi de rolul pe care îl joacă, rol care în cele din urmă poate fi considerat unul social Ei trebuie să recomande consiliului de supraveghere căutarea de asistenţă profesională, şi nu numai, pentru cei responsabili de guvernanţa corporativă, în situaţiile în care acest lucru ar fi necesar pentru îmbunătăţirea gradului de informare a publicului Nu ar fi înţelept din partea directorilor să acţioneze fără consiliere, deoarece, în cel mai rău scenariu posibil, acest lucru poate fi considerat o încălcare a responsabilităţilor comitetului de audit Membrii comitetului trebuie să insiste ca directorii companiilor de care răspund să aibă încheiate asigurări profesionale adecvate, fiind conştienţi totuşi că o astfel de asigurare nu mai este, de ceva vreme, un răspuns complet la obligaţiile pe care le au directorii în corporaţiile moderne 6 3 6 Comitetul de audit în viziune autohtonă Faţă de cele ce exprimă teoria şi practica internaţională, în ţara noastră prin modificări recente aduse dreptului societar 108 s-au asimilat principiile guvernării corporative fără a fi prezentate ca atare Această legislaţie a introdus o serie de prevederi avangardiste, între care şi cele referitoare la 108 Legea nr 441/2006 de modificare şi completare a Legii nr31/1990 privind societăţile comerciale, rerepublicată în Monitorul Oficial al României nr 1066/2004 177 comitetul de audit: consiliul de administraţie/supraveghere poate crea comitete consultative formate din cel puţin 2 membri ai consiliului şi însărcinate cu desfăşurarea de investigaţii şi cu elaborarea de recomandări pentru consiliu, în domenii precum auditul, remunerarea administratorilor, directorilor, cenzorilor şi personalului sau nominalizarea de candidaţi pentru diferitele posturi de conducere Comitetele vor înainta consiliului, în mod regulat, rapoarte asupra activităţii lor În conformitate cu prevederile legale, cel puţin un membru al fiecărui comitet trebuie să fie administrator neexecutiv independent De asemenea, comitetul de audit trebuie să fie format numai din administratori neexecutivi şi cel puţin un membru al comitetului trebuie să deţină experienţă în aplicarea principiilor contabile sau în audit financiar Avântul sau curajul normativ din 2006 a fost din păcate temperat prin OUG 82/2007 prin care organizarea comitetelor de audit s-a transformat din obligatorie în facultativă! Ne permitem aprecierea că la societăţile comerciale bazate pe sistemul dualist de guvernare instituirea comitetului de audit s-ar fi putut menţine ca obligatorie, în timp ce la celelalte să rămână la latitudinea acţionariatului Mai mult, legislaţia societăţilor comerciale din România nu prezintă detalii privind modul de funcţionare a comitetelor consultative, inclusiv a celui de audit În consecinţă, elementele de orientare ale companiilor care implementează un comitet de audit rămân la nivelul teoriei generale internaţionale De pildă, scopul ar putea fi declarat acela de a asista consiliul de administraţie în îndeplinirea responsabilităţilor de supraveghere a procesului de raportare financiară, a sistemului de control intern, a procesul de audit, a gradului de conformare legală şi morală ale entităţii etc Autoritatea comitetului de audit i-ar putea permite să propună, coordoneze sau să autorizeze investigaţii în orice problemă ce aparţine ariei de responsabilitate 6 4 Aprecierea sistemului de control intern În practică, procedurile utilizate pentru a se ajunge la evaluarea controlului intern şi pentru a se estima riscul legat de control variază considerabil de la un client la altul În cazul clienţilor mai mici, mulţi auditori obţin un nivel de înţelegere suficient doar pentru a estima dacă situaţiile financiare pot fi auditate, ei evaluează mediul controlului prin prisma atitudinii managementului faţă de controlul intern şi faţă de 178 raportarea financiară şi determină cât de adecvat este sistemul contabil al clientului Deseori, din motive de eficienţă, mecanismele de control intern sunt ignorate, se presupune că riscul de control este maxim, riscul de nedetectare fixându-se, prin urmare, foarte mic Presupunând că practicianul ar proceda astfel, trebuie, totuşi, să menţionăm că el este obligat la o examinare, cunoaştere şi diagnosticare minimală (suficientă) a controlului intern Pentru majoritatea clienţilor mai mari, în special în cazul angajamentelor repetitive, auditorul fixează înainte de a începe auditul un risc de control estimat mai mic în majoritatea componentelor auditului Pentru evaluarea sistemului de control intern, o abordare tipică utilizată de auditori constă în: - înţelegerea mediului de control, a procedurilor utilizate de managementul clientului în evaluarea riscurilor, a sistemului de informare şi comunicare contabilă şi a metodelor de supervizare la un nivel suficient de detaliat, - identificarea mecanismelor specifice de control care vor reduce riscul de control şi nivelul estimat al acestui risc, - testarea eficacităţii mecanismelor de control 6 4 1 Înţelegerea controlului intern al entităţii auditate Sarcina auditorului în cadrul obţinerii unei înţelegeri a controlului intern 109 constă în a se informa despre fiecare din cele cinci componente ale controlului intern Căutând să obţină această înţelegere, auditorul ar trebui să ia în considerare două aspecte esenţiale şi anume: modul în care au fost proiectate (concepute) diversele mecanisme de control intern incluse în fiecare componentă şi asigurarea că aceste mecanisme au fost puse în aplicare Metodele aflate la dispoziţia auditorului sunt prezentate în cele ce urmează Identificarea şi consultarea politicilor, normelor şi deciziilor interne Pentru a proiecta, a pune în aplicare şi întreţine mecanismele de control intern, o entitate trebuie să dispună de un volum mare de documente interne elaborate în acest sens Printre acestea se numără manualele şi documentele referitoare la politicile întreprinderii (cum ar fi politica de marketing a întreprinderii) şi manualele şi documentele de sistem (cum ar fi un manual de 109 Auditorii obţin informaţii despre controlul intern şi utilizează aceste informaţii, între altele, ca bază pentru planificarea auditului 179 proceduri contabile şi o organigramă) Aceste documente trebuie citite de auditor şi informaţiile (sensibilităţile) colectate să fie discutate cu personalul companiei pentru a se asigura că ele sunt corect interpretate şi înţelese Chestionarea personalului clientului Un punct de pornire logic pentru obţinerea iniţială a informaţiilor constă în colectarea informaţiilor de la personalul relevant al clientului (managerial, de supervizare sau operativ) Examinarea documentelor justificative şi a evidenţelor contabile Toate cele cinci componente ale controlului intern presupun crearea unui mare număr de documente şi evidenţe 110 Prin examinarea documentelor justificative, a evidenţelor contabile şi a fişierelor informatice create, auditorul poate înţelege mai bine conţinutul manualelor În plus, examinarea documentelor şi evidenţelor oferă probe privind faptul că politicile şi mecanismele de control au fost puse în aplicare Observarea activităţilor şi operaţiunilor entităţii Pe lângă examinarea documentelor şi evidenţelor întocmite, auditorul poate observa personalul clientului în cursul întocmirii acestor documente şi evidenţe, precum şi în cursul derulării activităţilor contabile şi de control obişnuite Acest demers permite o îmbunătăţire suplimentară a înţelegerii şi cunoaşterii mecanismelor de control puse în aplicare de entitate Observarea, documentarea şi chestionarea pot fi eficient combinate sub forma "parcursului operaţiunilor" Prin această metodă auditorul selectează unul sau mai multe documente necesare pentru iniţierea unui tip de operaţiuni şi le retrasează parcursul prin întregul proces informaţional - contabil La fiecare etapă de prelucrare, auditorul face chestionări şi observă activităţile curente, pe lângă faptul că examinează documentele întocmite pentru operaţiunea sau operaţiunile selectate Există trei metode tipice de documentare a înţelegerii controlului intern: prezentările narative, diagramele secvenţiale şi chestionarele de control intern Acestea pot fi folosite separat sau combinat, după cum se prezintă în cele ce urmează O prezentare narativă este o descriere scrisă a mecanismelor de control intern ale unui client O descriere adecvată a unui sistem contabil şi a mecanismelor de control aferente acestuia trebuie să conţină patru elemente, după cum urmează: - originea fiecărui document şi registru de evidenţă din sistem De exemplu, descrierea ar trebui să menţioneze cine generează referatele de necesitate şi cum sunt emise comenzile de aprovizionare; 110 Acestea ar trebui să fie prezentate, într-o anumită măsură, în manualele de politici şi sisteme 180 - toate prelucrările care au loc De pildă, dacă valorile aprovizionărilor sunt determinate de un program informatic, atunci această operaţiune ar trebui descrisă; - poziţia ocupată de fiecare document si registru de evidenţă în sistem Ar trebui prezentat modul de primire, prelucrare şi remitere către furnizori sau anulare a comenzilor; - prezentarea mecanismelor de control relevante pentru estimarea riscului legat de control De regulă, acestea includ: separarea sarcinilor (cum ar fi separarea înregistrării operaţiunilor băneşti de gestiunea lichidităţilor), autorizările şi aprobările (cum ar fi aprobarea comenzii din punctul de vedere al politicilor de aprovizionare) şi verificările interne (cum ar fi compararea preţului de cumpărare unitar cu prevederile contractelor încheiate cu furnizorii) Diagrama secvenţială, ca mijloc de investigare a controlului intern, este o reprezentare simbolică, schematică a documentelor clientului şi a succesiunii lor cronologice în organizaţie Diagrama secvenţială adecvată trebuie să cuprindă aceleaşi patru elemente ca şi o bună (scurtă dar sugestivă) prezentare narativă Schiţarea unor diagrame secvenţiale este avantajoasă, în primul rând, pentru că poate oferi o imagine concisă şi de ansamblu asupra sistemului clientului, care îi va fi utilă auditorului ca instrument analitic de evaluare Pentru aceasta, se folosesc, mai frecvent, schema bloc, schema orizontală a fluxului informaţional şi schema logică de program 111 Diagrama bloc, de rutină sau de relaţii constă în simbolizarea convenţională a compartimentelor care participă la desfăşurarea activităţii analizate sub forma unor pătrate sau dreptunghiuri de dimensiuni variate astfel încât să se poată înscrie în ele documentele care circulă în compartimentele respective şi unele operaţii din cadrul fluxului informaţional; în interiorul acestor patrulatere se înscrie denumirea sau simbolul compartimentului Utilizarea schemei bloc în analiza fluxului informaţional prezintă avantajul unor reprezentări grafice sugestive şi într-un spaţiu restrâns, pe baza cărora sunt sesizate cu uşurinţă eventualele sinuozităţi ale circulaţiei documentelor (informaţiilor) Are dezavantajul că nu permite o analiză a fluxului informaţional pe operaţii În schema orizontală a fluxului informaţional reprezentarea circuitelor se desfăşoară pe orizontală, utilizându-se pentru aceasta semnele convenţionale din Tabelul 1 111 D Constantinescu, Management operaţional al producţiei, Editura Sitech, Craiova, 2003 181 Caracteristicile acestei reprezentări grafice constau în aceea că, pe de o parte, oferă posibilitatea precizării influenţei pe care o are un document asupra unuia sau mai multor documente iar, pe de altă parte, lungimea reprezentării este nelimitată, permiţând cuprinderea întregului sistem intrun singur grafic Tabelul 1 Semne convenţionale utilizate în reprezentarea circuitului informaţional - Crearea unui document nou sau înregistrarea pentru prima oară a unor date într-un document în alb - Adăugire de date pe un document elaborat anterior 1 2 - Bloc informaţional simplificator, folosit pentru reprezentarea unor operaţii simultane - Linie de influenţă (linia notată cu 2 reprezintă nivelul pe care este situat documentul influenţat) - Manipularea, colaţionarea, capsarea, clasarea documentului - Staţionarea sau îndosarierea temporară a unui document în vederea sortării, prelucrării etc - Verificarea din punct de vedere calitativ şi cantitativ a înregistrărilor efectuate într-un document - Mişcarea unuia sau mai multor documente de la un compartiment la altul, de la o persoană la alta etc - Arhivare Blocul informaţional simplificator şi linia de influenţă sunt semne convenţionale complexe Potrivit acestei metode de reprezentare, fiecare document este situat pe o linie orizontală proprie din momentul apariţiei până la arhivarea sau distrugerea lui Diagrama se desfăşoară continuu, de la stânga spre dreapta; fiecare bloc informaţional simplificat fiind însoţit de indicaţii scrise asupra operaţiei simbolizate Pentru exemplificarea acestei metode de reprezentare grafică a fluxurilor informaţionale se va considera că documentul A, aflat în arhivă, este folosit pentru întocmirea, în patru exemplare, a unui alt document B Documentul A, după ce a fost utilizat la întocmirea documentului B, este din nou arhivat Cele patru exemplare ale documentului B sunt transmise spre verificarea şi înregistrarea de date unui alt compartiment În acest 182 compartiment, după ce au fost efectuate operaţiile amintite, un exemplar din documentul B este arhivat iar celelalte trei exemplare sunt transmise altor compartimente Operaţiile efectuate asupra documentelor A şi B, precum şi circuitul acestora sunt redate în Figura1 Schema orizontală a fluxului informaţional, aşa cum rezultă şi din reprezentarea grafică, permite o prezentare sugestivă a operaţiilor din sistemul informaţional, ilustrează circuitele documentelor şi interdependenţele dintre documente în procesul realizării diferitelor operaţii Această metodă de reprezentare grafică are, de asemenea, avantajul că permite urmărirea cu uşurinţă a circulaţiei documentelor până la finalizare, depistează paralelismele în efectuarea operaţiilor, precum şi operaţiile inutile Are însă dezavantajul unei perceperi de ansamblu mai dificile şi, mai ales, nu oferă o imagine vizuală a locului de efectuare a operaţiilor Trimite Document B 1 2 3 4 Verifică şi înregistrează Trimite Fig 1 Diagrama orizontală de prezentare a fluxului informaţional O diagramă secvenţială bine întocmită contribuie la identificarea punctelor slabe ale controlului, deoarece ea facilitează o înţelegere clară a modului în care funcţionează sistemul Din cele mai multe puncte de vedere, diagramele sunt mai bune decât prezentările narative ca metodă de comunicare a caracteristicilor unui sistem, în special ca instrument de ilustrare a separării adecvate a sarcinilor Este mult mai uşor să analizezi o diagramă decât să citeşti o descriere interminabilă Decizia de a utiliza una dintre tehnici sau o combinare a lor depinde de doi factori: gradul relativ de înţelegere la care au ajuns auditorii şi costul relativ al utilizării celor două tehnici Un chestionar de control intern conţine o serie de întrebări despre mecanismele de control aplicate în fiecare sferă supusă auditului, întrebări formulate în scopul de a indica auditorului anumite aspecte ale controlului intern care ar putea fi necorespunzătoare În cele mai multe cazuri, aceste întrebări sunt formulate astfel încât să se poată răspunde prin "da" sau "nu", 183 răspunsurile negative fiind indicaţii ale unor potenţiale neajunsuri sau carenţe ale sistemului de control intern În continuare se prezintă un exemplu de chestionar folosit în înţelegerea şi evaluarea controlului intern al aprovizionărilor şi achiziţionărilor entităţii auditate Răspuns Obiective şi întrebări A Întrările înregistrate corespund unor aprovizionări reale (existenţă)? 1 Înregistrarea aprovizionărilor este justificată prin documente autorizate (facturi), contracte şi comenzi aprobate? 2 Cumpărările sunt aprobate la nivel ierarhic corespunzător? 3 Există un fişier sistematic al furnizorilor? 4 Computerul acceptă înregistrarea de cumpărări numai pentru furnizorii autorizaţi din fişierul sistematic? 5 Facturile furnizorilor, notele de recepţie, comenzile de cumpărare şi cererile de aprovizionare sunt conexate şi verificate pe plan intern? B Operaţiunile de cumpărare existente sunt înregistrate (exhaustivitate integralitate)? 1 Se realizează o evidenţă (operativă) a aprovizionărilor? 2 Comenzile de cumpărare sunt prenumerotate şi se urmăreşte succesiunea lor numerică? 3 Există procedură privind abordarea diferenţelor constatate cu ocazia recepţiilor? 4 Documentele de intrare (avize de însoţire sau facturi) sunt verificate la sediul administrativ, astfel încât să se asigure că toate aprovizionările sunt recepţionate? 5 Se realizează o evidenţă independentă de contabilitate a TVA deductibilă şi o confruntare lunară între registrul de evidenţă operativă a aprovizionărilor, jurnalul de TVA şi fişa contului furnizori? C Operaţiunile de cumpărare înregistrate sunt corecte (exacte)? 1 Se face o comparaţie independentă a cantităţii de bunuri din documentele emise de furnizori cu cea din documentele de recepţie? 2 Preţurile şi reducerile aferente cumpărărilor sunt contorizate, aprobate şi verificate dacă sunt consecvente politicilor întreprinderii, cererilor de aprovizionare şi contractelor încheiate cu furnizorii? 3 Calculele şi sumele sunt verificate pe plan intern? 4 Conţinutul fişierului analitic al datoriilor către furnizori este verificat pe plan intern? 5 Totalurile fişierului analitic de furnizori sunt comparate cu sumele si soldurile contului sintetic corespunzător? D Operaţiunile de cumpărare înregistrate sunt corect clasificate ? 1 Se foloseşte un plan de conturi adecvat? 2 Există o limitare prin soft a operării intrărilor de imobilizări corporale privind condiţiile cumulative legale de îndeplinit? 3 Inserarea în conturi este verificată independent pe plan intern? E Aprovizionările sunt înregistrate la datele corecte (cronologie)? 1 Procedurile contabile interne impun înregistrarea operaţiunilor cât mai curând posibil după primirea bunurilor? 2 Datele sunt verificate din acest punct de vedere? X X X X X Da Nu N/ A X X X X X X X X X X X X X X X 184 Bineînţeles că nici acest chestionar, ca şi exemplul anterior, nu epuizează întrebările pe care le poate adresa auditorul personalului clientului în legătură cu aprovizionările acestuia Conceperea chestionarului depinde de cunoştinţele, experienţa şi raţionamentul profesional al auditorului Principalul avantaj al utilizării unui chestionar constă în posibilitatea de a analiza riguros fiecare domeniu auditat, suficient de repede şi chiar de la începutul auditului Principalul dezavantaj este că sunt examinate doar părţile componente ale sistemelor clientului, fără a se crea o imagine de ansamblu În plus, un chestionar standard este deseori inaplicabil în cazul anumitor clienţi de audit, în special în întreprinderile mici Folosirea concomitentă a chestionarelor şi diagramelor secvenţiale este foarte utilă pentru înţelegerea controlului intern al unui client Diagramele oferă o imagine de ansamblu asupra sistemului, în timp ce chestionarele reprezintă liste de referinţă utile care îi amintesc auditorului numeroasele tipuri diferite de mecanisme de control intern care ar trebui să existe într-o întreprindere Utilizată de manieră corespunzătoare, o combinaţie a acestor două tehnici ar trebui să ofere auditorului o descriere excelentă a sistemului Deseori este de dorit să se utilizeze prezentările narative sau diagramele făcute de client şi să se ceară clientului să completeze chestionarul de control intern Când un client nu poate furniza prezentări, diagrame şi chestionare aprofundate şi fiabile, auditorul este cel care trebuie să întocmească toate aceste documente 6 4 2 Estimarea riscului şi identificarea mecanismelor specifice de control care îl pot reduce După ce obţine o înţelegere suficientă a controlului intern pentru a putea planifica misiunea, auditorul trebuie să facă o estimare iniţială a riscului de control Pentru a ajunge la această estimare iniţială trebuie să respecte patru cerinţe I Să aprecieze dacă situaţiile financiare sunt auditabile Prima estimare constă în a se determina dacă entitatea este auditabilă Doi factori de bază determină caracterul auditabil şi anume: integritatea managementului şi caracterul adecvat al documentelor şi evidenţelor contabile Dacă auditorul percepe managementul întreprinderii ca fiind 185 (foarte) serios şi competent, precum şi că evidenţa este rezonabil organizată şi bine documentată, atunci el poate estima că entitatea este auditabilă Când ajunge la concluzia că entitatea nu este auditabilă, auditorul trebuie să discute circumstanţele specifice ale acestei concluzii cu clientul (de obicei, cu cel mai înalt nivel ierarhic al acestuia), având la dispoziţie două alternative fie să se retragă din angajament, 112 fie să emită un raport de audit sub formă de refuz de a exprima o opinie II Să estimeze riscul de control, bazându-se pe înţelegerea sistemului de control obţinută După obţinerea unei înţelegeri a controlului intern, auditorul face o estimare iniţială a riscului de control Această estimare exprimă măsura în care auditorul se aşteaptă ca mecanismele de control intern să nu: - preîntâmpine apariţia unor prezentări eronate semnificative, - detecteze şi corecteze denaturările semnificative deja apărute De obicei, estimarea iniţială începe cu luarea în considerare a mediului controlului Dacă în viziunea managerilor controlul intern nu este important, probabilitatea ca activităţile de control specifice să fie fiabile este foarte mică În acest caz, cea mai bună soluţie este să se presupună că riscul de control aferent tuturor obiectivelor de audit legate de operaţiuni este maxim Pe de altă parte, dacă atitudinea managementului este pozitivă, atunci auditorul analizează politicile şi procedurile specifice din cadrul componentelor secundare ale mediului de control şi cele aparţinând celorlalte patru elemente ale controlului intern Mecanismele de control din toate cele cinci elemente sunt utilizate ca bază pentru estimarea riscului sub nivelul maxim Aprecierea sau preţuirea sistemului de control intern efectuată înainte de administrarea testelor de control, se finalizează prin acordarea sistemului a unuia dintre calificativele/riscurile: □ excelent – în situaţia în care toate riscurile sunt abordate adecvat de sistemul de control intern, risc de control foarte mic (0,1); □ bun - dacă riscurile, cu câteva mici excepţii, sunt abordate adecvat de sistemul de control intern, risc de control mic (0,2); □ satisfăcător – în acest caz riscurile sunt abordate cu excepţii semnificative, risc de control mediu (0,3 -0,6); □ slab - când controalele interne nu abordează riscurile ce planează asupra entităţii auditate, risc de control mare (0,7 – 1,0) Dacă angajamentul de audit nu mai este eficient sau atunci când nu se mai poate face nimic De exemplu, clientul nu poate pune la dispoziţia auditorului documentele primare ce stau la baza situaţiilor financiare 186 112 Există două consideraţii importante în ceea ce priveşte estimarea iniţială În primul rând, auditorul nu este obligat să facă estimarea iniţială de manieră formală, detaliată În numeroase misiuni de audit, mai ales cele ale companiilor mici, auditorul presupune că riscul de control este maxim, indiferent de situaţia reală Auditorii procedează astfel, deoarece decid că este mai economic să facă un audit aprofundat al rulajelor, soldurilor şi altor elemente din situaţiile financiare, decât să testeze mecanismele de control intern aferente acestor elemente 113 În al doilea rând, chiar dacă auditorul consideră că riscul de control este mic, valoarea estimată a riscului de control se limitează la acel nivel, care este justificat de probele obţinute; de regulă insuficiente, dificil de obţinut sau este mult prea costisitoare obţinerea lor Spre ilustrare, să presupunem că auditorul consideră că riscul de control asociat aprovizionărilor ireale este mic, dar nu a colectat decât o cantitate mică de probe pentru a justifica mecanismele de control vizând existenţa, ca obiectiv de audit legat de operaţiuni Prin urmare, estimarea riscului de control pentru aprovizionările inexistente trebuie să fie ori mare, ori moderată Aceasta ar putea fi mică sau foarte mică numai dacă se obţin probe suplimentare care să justifice mecanismele de control pertinente III Să aprecieze dacă se poate justifica un risc de control estimat mai mic Când consideră că riscul de control real ar putea fi cu mult mai mic decât estimarea iniţială, auditorul poate decide să justifice (încerce) determinarea unui risc de control estimat mai mic Cel mai probabil caz în care s-ar putea produce acest lucru este atunci când auditorul a identificat un număr restrâns de mecanisme de control în faza de înţelegere Bazânduse pe rezultatele estimării iniţiale, auditorul consideră acum că pot fi identificate şi testate mecanisme suplimentare de control pentru a reduce şi mai mult riscul de control estimat IV Să determine nivelul adecvat al riscului de control estimat După ce face estimarea iniţială şi analizează dacă este posibil un risc de control mai mic, auditorul are posibilitatea de a decide care dintre riscurile de control estimate ar trebui utilizat: fie un nivel deja justificat în estimarea iniţială, fie un nivel mai mic Decizia privind nivelul de utilizat este în esenţă una economică, bazată pe o comparaţie dintre costurile testării mecanismelor de control relevante şi costurile efectuării testelor substanţiale care vor fi evitate dacă se va diminua riscul de control estimat De regulă sau ca procedură, auditorul estimează riscul de control, aferent obiectivelor de audit legate de operaţiuni, abordând fiecare tip 113 Mecanisme care au contribuit la stabilirea acestor solduri 187 major de operaţiuni din fiecare ciclu de operaţiuni De pildă, în ciclul aprovizionare-plăţi, tipurile de operaţiuni sunt: contractări, solicitări interne, comenzi, aprovizionări, recepţionări, restituiri, achitări etc A Primul pas în estimarea riscului constă în a identifica obiectivele de audit legate de operaţiuni asupra cărora se aplică estimarea Acest lucru se face prin aplicarea obiectivelor de audit legate de operaţiuni 114 şi formulate în termeni generali asupra fiecărei categorii majore de operaţiuni a entităţii B Pe parcursul analizării şi evaluării operaţiilor, pe care clientul le desfăşoară, din perspectiva obiectivelor de audit se pot constata o serie de inadvertenţe sau neajunsuri Un neajuns al controlului intern este absenţa mecanismelor de control adecvate, care majorează riscul apariţiei de prezentări eronate în situaţiile financiare Dacă, în opinia auditorului, mecanismele de control nu sunt adecvate pentru realizarea unuia dintre obiectivele de audit referitoare la operaţiuni, va creşte probabilitatea apariţiei prezentărilor eronate în cadrul situaţiilor financiare Spre exemplu, dacă angajaţii care se ocupă de contabilitatea stocurilor au posibilitatea de a modifica datele din nomenclatorul stocurilor şi cel al preţurilor de aprovizionare, auditorul ar putea deduce că sistemul de control intern are o carenţă, implicit, că informaţiile din situaţiile financiare privind stocurile pot fi eronate Pentru a identifica neajunsurile semnificative ale controlului intern se poate utiliza o metodă în patru etape, descrisă în continuare Identificarea mecanismelor de control existente Deoarece neajunsurile constau în absenţa unor mecanisme de control adecvate, auditorul ar trebui mai întâi de toate să ştie ce mecanisme de control există Identificarea mecanismelor de control existente se realizează pe baza metodelor deja prezentate Identificarea mecanismelor de control absente Chestionarele de control intern, prezentările narative şi diagramele secvenţiale sunt utile pentru identificarea sferelor în care lipsesc mecanisme de control şi în care, prin consecinţă, creşte probabilitatea apariţiei de erori De regulă, când auditorul estimează riscul de control ca moderat sau mare, înseamnă că s-a constatat absenţa unor mecanisme de control Determinarea erorilor semnificative potenţiale care ar putea rezulta Această etapă are drept scop identificarea prezentărilor eronate specifice care ar putea apărea din cauza absenţei mecanismelor de control Importanţa unui neajuns al sistemului de control intern este direct 114 Existenţă, integralitate, exactitate, clasificare, cronologie, sistematizare şi sintetizare 188 proporţională cu amploarea greşelilor sau fraudelor care ar putea rezulta din acel neajuns Analizarea posibilităţii existenţei unor mecanisme de control compensatorii Un mecanism de control compensatoriu este acela introdus într-o altă componentă a sistemului pentru a compensa un neajuns al componentei examinate Un exemplu tipic într-o companie mică este implicarea activă a proprietarului Când există un mecanism de control compensatoriu, neajunsul nu mai trebuie să-1 preocupe pe auditor, deoarece probabilitatea de eroare este suficient diminuată C Următorul pas este identificarea mecanismelor cheie de control, care contribuie la atingerea fiecărui obiectiv de audit legat de operaţiuni Auditorul identifică mecanismele de control pertinente, analizând informaţiile descriptive despre sistemul clientului Sunt identificate acele politici, proceduri şi activităţi care, în opinia auditorului, asigură controlul operaţiunilor vizate Pentru a conduce această analiză, deseori este util să se facă referinţă la tipurile de mecanisme de control care ar putea exista şi să se întrebe personalul clientului dacă aceste mecanisme există în realitate Spre exemplu: - Există o separare adecvată a sarcinilor şi cum se realizează aceasta? - Documentele utilizate sunt adecvat concepute? - Documentele prenumerotate sunt corect contabilizate? - Accesul neautorizat la fişierele sistematice este suficient preîntâmpinat? - Etc În efectuarea acestei analize nu este obligatoriu să se abordeze fiecare mecanism de control în parte Auditorul ar trebui să identifice şi să includă în analiză numai mecanismele de control care se presupune că au cel mai mare impact asupra atingerii obiectivelor de audit referitoare la operaţiuni Deseori, acestea sunt numite mecanisme-cheie ale controlului intern Motivul pentru care numai mecanismele-cheie ale controlului intern sunt luate în considerare este că acestea vor fi suficiente pentru atingerea obiectivelor de audit referitoare la operaţiuni şi ar trebui deci să asigure eficienţa auditului D După ce a identificat mecanismele de control, neajunsurile sistemului şi le-a corelat cu obiectivele de audit legate de operaţiuni, auditorul poate estima riscul de control, întrucât se presupune că a acumulat suficiente probe 189 OBIECTIVE DE AUDIT PRIVIND OPERAŢIUNILE DE APROVIZIONĂRI Exhaustivitate Cronologie C C C C C C C C N Clasificare C C N mediu mediu Acurateţe C C C C C C N N mic mic mare Existenţă C C C C C C CONTROL INTERN Comanda de aprovizionare este automat aprobată de computer Computerul acceptă înregistrarea cumpărărilor numai pentru furnizorii autorizaţi din fişierul sistematic Separarea sarcinilor legate de aprovizionare, contabilizare şi gestiunea plăţilor Facturile furnizorilor, notele de recepţie, comenzile de cumpărare şi cererile de aprovizionare sunt conexate şi verificate pe plan intern Documentele de aprovizionare sunt remise zilnic spre serviciul administrativ, în ziua imediat ă Numerele documentelor de recepţie sunt prestabilite şi se utilizează secvenţial Se face o comparaţie independentă a cantităţii de bunuri din documentele emise de furnizori cu cea din documentele de recepţie Preţurile şi reducerile aferente cumpărărilor sunt contorizate, aprobate şi verificate dacă sunt consecvente politicilor întreprinderii, cererilor de aprovizionare şi contractelor încheiate cu furnizorii Procedurile contabile interne impun înregistrarea operaţiunilor cât mai curând posibil după primirea bunurilor şi inserarea în conturi este verificată independent pe plan intern Zilnic sau periodic conţinutul fişierului analitic al furnizorilor este verificat pe plan intern şi confruntat cu balanţa de verificare sintetică Nu se realizează o evidenţă independentă de contabilitate a TVA deductibilă şi o confruntare lunară între registrul de evidenţă operativă a aprovizionărilor, jurnalul de TVA şi fişa contului furnizori Inserarea în conturi nu este verificată independent pe plan intern Riscul de control estimat MECANISME- CHEIE ILUSTRATIVE C C C C C C C NEAJUNSURI C = mecanismul de control corespunde parţial sau total obiectivului de audit referitor la operaţiunile de aprovizionări; N = neajuns identificat 190 În acest scop, mulţi auditori folosesc matricea riscului de control Majoritatea mecanismelor de control afectează concomitent mai multe obiective de audit referitoare la operaţiuni Acest caracter complex al mecanismelor face din matricea riscului de control un instrument util pentru estimarea nivelului acestui risc Auditorii utilizează matricea riscului de control pentru a identifica atât mecanismele de control, cât şi neajunsurile sistemului de control intern şi pentru a estima riscul de control, aşa cum rezultă din exemplul anterior În alcătuirea matricei, obiectivele de audit legate de operaţiunile de aprovizionări sunt înscrise ca titluri de coloane, iar mecanismele de control pertinente care au fost identificate sunt înscrise în titlurile rândurilor În plus, acolo unde au fost identificate neajunsuri semnificative, acestea au fost, de asemenea, incluse ca titluri de rând sub lista mecanismelor-cheie ale controlului Apoi, corpul matricei a fost folosit pentru a arăta modul în care mecanismele de control contribuie la atingerea obiectivelor de audit legate de operaţiuni şi modul în care neajunsurile afectează aceleaşi obiective Auditorul estimează riscul de control căutând răspunsul la următoarea întrebare: "Care este probabilitatea ca o prezentare eronată semnificativă să nu fie preîntâmpinată sau detectată şi corectată de mecanismele de control şi care este impactul acestui neajuns?" Dacă probabilitatea este mare, atunci şi riscul de control va fi mare, şi aşa mai departe 6 4 3 Testarea mecanismelor de control intern În cursul fazei de înţelegere a controlului intern, s-au colectat deja anumite probe privind modul de proiectare a mecanismelor de control, precum şi probe că aceste mecanisme au fost puse în funcţiune De asemenea, estimarea riscului legat de control obligă auditorul să analizeze modul în care sunt proiectate mecanismele de control, în scopul de a determina dacă ele vor fi eficace în atingerea obiectivelor de audit legate de operaţiuni S-a realizat şi o estimare a riscului, pe care, până la proba contrarie, auditorul o poate considera corect determinată Totuşi, pentru a putea utiliza mecanismele specifice de control ca bază pentru reducerea riscului de control estimat, auditorul trebuie să obţină probe specifice privind eficacitatea aplicării lor pe toată perioada supusă auditului sau cel puţin pentru cea mai mare parte a acesteia Procedurile de testare a efica191 cităţii mecanismelor de control în scopul justificării unui risc de control estimat mai mic sunt numite teste ale mecanismelor de control În cadrul testării mecanismelor de control intern, auditorul se poate afla într-un din următoarele situaţii: - atunci când rezultatele testării mecanismelor de control 115 confirmă aşteptările auditorului privind proiectarea acestor mecanisme, acesta va continua să utilizeze acelaşi nivel de risc de control pe care 1-a estimat iniţial - dacă testele mecanismelor de control arată că acestea nu au funcţionat cu eficacitate, riscul de control estimat trebuie revizuit Spre exemplu, testele ar putea arăta că aplicarea unui mecanism de control a fost întreruptă pe la mijlocul exerciţiului sau că persoana care îl aplică a comis multiple greşeli În asemenea situaţii, auditorul trebuie să folosească un risc de control estimat mai mare, cu excepţia cazurilor când sunt identificate mecanisme de control adiţionale pentru acelaşi obiectiv de audit legat de operaţiuni şi când acestea sunt considerate eficace Există patru tipuri de proceduri care se folosesc pentru a testa (verifica) funcţionarea mecanismelor de control intern Acestea sunt prezentate în continuare Chestionarea sau intervievarea angajaţilor relevanţi ai clientului Deşi chestionarea nu reprezintă, de regulă, o sursă foarte fiabilă de probe privind funcţionarea eficace a mecanismelor de control, ea oferă totuşi probe (indicii) adecvate De pildă, auditorul ar putea determina personalul care nu este autorizat, nu are acces la fişierele informatice, prin chestionarea angajatului care controlează bazele de date şi a angajatului care gestionează atribuirea drepturilor la parole de securitate care permit accesul la sistem Examinarea documentelor, evidenţelor si rapoartelor Multe mecanisme de control lasă o pistă (urmă) clară de probe documentare Să presupunem că atunci când se recepţionează o aprovizionare de la un furnizor se întocmeşte şi o notă de recepţie şi constatare de diferenţe Aceasta este utilizată pentru a crea un ordin de plată către furnizorul respectiv, care, la rândul său, este aprobat din punct de vedere al exigibilităţii datoriei Nota de intrare recepţie este conexată cu ordinul de plată, ca autorizare pentru operaţiunile ulterioare (avizarea ca fiind bun de plată) Auditorul examinează documentele de acest gen pentru a se asigura că ele sunt complete şi adecvat corelate şi că semnăturile sau iniţialele obligatorii sunt prezente 115 Pe care auditorul le-a diagnosticat ca fiind bazele unui risc de control situat sub maximul posibil şi pe care le-a luat în considerare ca fiind demne de reţinut 192 Observarea activităţilor legate de control Alte tipuri de activităţi legate de rigoarea internă nu lasă urme sau probe documentare De pildă, separarea sarcinilor se bazează pe faptul că anumite persoane îndeplinesc anumite sarcini şi, de regulă, aceste responsabilităţi separate nu sunt documentate În cazul mecanismelor de control care nu lasă o urmă documentară, auditorul observă, de regulă, modul în care sunt aplicate aceste mecanisme în diverse momente pe parcursul exerciţiului şi circuitului informaţional - contabil Sunt posibile şi constatări indirecte Astfel, ca auditor, ai "şansa" să aştepţi câteva minute în anticameră (secretariat) la directorul general sau la cel economic, şi poţi observa că: - numărul persoanelor ce intră şi ies de la manageri este abundent; situaţia descrisă reprezintă, în mare parte, o certitudine pentru practicianul observator că o mulţime de elemente ale sistemului de control intern fie nu există, fie nu funcţionează corespunzător; - nu intră nicio persoană pe la cei doi conducători; această situaţie poate să sugereze auditorului fie că subalterni ştiu foarte bine ce, cum şi când au de făcut şi nu există motive pentru întrevedere (control intern excepţional), fie că salariaţii nu ştiu când şi cum să reacţioneze, chiar mai grav, nu îndrăznesc să-l "deranjeze pe şeful" (control intern nimicitor)… Reconstituirea procedurilor clientului Există şi activităţi legate de control cărora le sunt asociate norme interne exprese, însă al căror conţinut este insuficient pentru atingerea scopului urmărit de auditorul extern şi anume cel de a evalua dacă mecanismele de control funcţionează cu eficacitate Spre ilustrare, se poate efectua o evaluare a echipelor de audit intern Dacă, la aceleaşi obiective de verificat, o echipă a depistat deficienţe minore sau nu a depistat nici o deficienţă, iar cealaltă echipă depistează frecvente deficienţe majore, auditorul extern trebuie să-şi orienteze activitatea spre aprofundarea activităţii primei echipe Desfăşurându-şi activitatea după aceleaşi norme şi regulamente, comportamentul cel puţin al uneia dintre cele două echipe poate fi necorespunzător În consecinţă, auditorul trebuie să aprecieze, prin reconstituire, dacă atitudinile şi acţiunile celor două echipe de verificare sunt conforme normelor şi situaţiilor de fapt Dacă nu se descoperă nici o eroare, auditorul extern poate deduce că mecanismul de control, auditul intern, funcţionează conform scopurilor pentru care a fost creat Testarea unei fracţiuni din perioada auditată Într-o situaţie ideală, testele mecanismelor de control ar trebui aplicate operaţiunilor şi mecanismelor din întreaga perioadă supusă auditului Totuşi, această soluţie nu este întotdeauna economică şi practică Când se testează mai 193 puţin decât întreaga perioadă în cauză, auditorul ar trebui să determine dacă în sistemul de control au intervenit schimbări în perioada care nu este testată şi să obţină probe în legătură cu natura şi amploarea oricăror schimbări produse Perimetrul de aplicare a testelor mecanismelor de control depinde de nivelul dorit al riscului de control estimat Dacă auditorul doreşte un risc de control estimat mai mic, atunci se aplică teste ale mecanismelor de control mai extinse, atât în termenii numărului de mecanisme de control testate, cât şi în termenii profunzimii testării fiecărui mecanism În practică, pe baza concluziilor asupra sistemului de control intern desprinse din evaluarea cumulativă, a constatărilor rezultate din înţelegerea sistemului de control intern şi a rezultatelor aplicării testelor de control, se determină gradul de încredere a auditului în sistemul de control intern prin utilizarea matricei gradului de încredere, prezentată în continuare Concluzia asupra Rezultatele testelor mecanismelor de control şi evaluarea finală evaluării sistemului Testele de Testele de Testele de Testele de de control intern control nu control relevă control relevă control relevă înaintea executării relevă nici o câteva câteva excepţii multiple testelor de control excepţie excepţii majore deficienţe Excelent Înalt Mediu Slab/nul Nul Bun Mediu Mediu/slab Slab/nul Nul Suficient Slab Slab/nul Slab/nul Nul Slab Nul Nul Nul Nul Porţiunea îngroşată a tabelului reflectă gradul de încredere Spre exemplu, un grad de încredere mediu spre slab se obţine când înţelegerea sistemelor de control intern a relevat un sistem de control intern bun, iar testele de control au relevat câteva excepţii de la procedurile controlului intern Se poate sesiza o suprapunere semnificativă între procedurile utilizate pentru a se obţine o înţelegere a sistemului de control intern şi testele mecanismelor de control Ambele presupun chestionare, documentare şi observare Există însă două deosebiri fundamentale în ceea ce priveşte aplicarea acestor proceduri tipice în diferite faze În primul rând, în faza de înţelegere a controlului intern, procedurile de audit sunt aplicate tuturor mecanismelor de control identificate ca făcând parte din controlul intern, cu scopul de a constata care riscuri au fost identificate şi stăvilite de management În această fază, principalul obiectiv al auditorului este dacă ataşează controlului intern un risc maxim sau unul mai mic Pe de altă parte, testele mecanismelor de control sunt aplicate numai 194 atunci când riscul de control estimat este sub nivelul maxim, însă, chiar şi atunci, ele se aplică numai asupra mecanismelor cheie ale controlului intern În al doilea rând, procedurile de obţinere a unei înţelegeri a controlului intern se aplică numai asupra uneia sau câtorva operaţiuni sau, în cazul observărilor, într-un singur moment din timp Testele mecanismelor de control sunt efectuate asupra unor eşantioane mai mari de operaţiuni (de pildă, între 30 şi 100), iar observările sunt făcute deseori la mai multe momente de timp În cazul testării mecanismelor-cheie ale controlului intern, altele decât reconstituirea, acţiunile şi evaluările auditorului sunt în esenţă o extensie a procedurilor necesare pentru înţelegerea aceluiaşi sistem Prin urmare, când auditorii planifică de la începutul misiunii să obţină un risc de control estimat mic, ei vor combina cele două tipuri de proceduri şi le vor executa simultan Auditorul foloseşte rezultatele estimării riscului de control şi testării mecanismelor de control pentru a determina riscul de nedetectare planificat şi pentru a defini testele substanţiale corespunzătoare acestuia Auditorul defineşte testele substanţiale prin corelarea estimărilor riscului de control cu obiectivele de audit referitoare la soldurile conturilor afectate de principalele tipuri de operaţiuni Nivelul riscului de nedetectare adecvat pentru fiecare obiectiv de audit legat de solduri este determinat apoi utilizându-se modelul de risc de audit (RAA = RI·RC·RNDP) Dacă, de pildă, riscurile inerent şi de control sunt ridicate, atunci riscul de nedetectare planificat va fi foarte mic, astfel încât să se obţină un risc de audit acceptabil Aceasta presupune că volumul şi incidenţa testelor substanţiale trebuie serios majorate Dintr-o altă perspectivă a misiunii de audit, auditorul trebuie să aducă la cunoştinţa conducerii, cât mai repede posibil şi la un nivel adecvat de responsabilitate, carenţele semnificative în proiectarea şi operarea sistemului de control intern care i-au atras atenţia Înştiinţarea conducerii în legătură cu lacunele semnificative trebuie, în mod normal, să se facă în scris 116 Dacă auditorul va considera că este adecvată comunicarea orală, o astfel de comunicare va fi consemnată în documentele de lucru Este important să se specifice în comunicare că au fost raportate numai carenţele care au atras atenţia auditorului pe parcursul misiunii, precum şi faptul că examinarea nu a fost elaborată ca să determine adecvarea controlului intern scopurilor manageriale 116 Iar ca plasament cronologic, comunicarea se poate realiza oricând pe parcursul derulării misiunii de audit, însă cu o condiţie – constatarea auditorului să fie foarte bine întemeiată şi riguros probată 195 